En el marco del régimen de protección de datos personales la Superintendencia de Industria y Comercio (“SIC”) tiene la competencia de investigar y sancionar violaciones a dicho régimen. En este contexto, la SIC ha sostenido que el hecho de que cese la vulneración al régimen de protección de datos personales, antes o durante un proceso administrativo sancionatorio (incluso después de iniciada la investigación), no libera de responsabilidad al infractor y, por lo tanto, de las sanciones aplicables, de tal manera que alegar la existencia de un “hecho superado” no basta para evitar la imposición de una sanción.
La SIC ha sustentado esta posición, principalmente, en la finalidad de sus competencias, al afirmar que su potestad sancionatoria pretende garantizar la aplicación o vigencia del régimen de protección de datos personales, así como desestimular prácticas indebidas, por lo que el incumplimiento de los deberes de responsables o encargados del tratamiento de datos personales es, en sí mismo, una infracción que da cabida a la aplicación de una sanción.
En tal virtud, el solo hecho de implementar medidas correctivas antes o durante una investigación no exime de responsabilidad al infractor en materia de datos personales. Por ello, cualquier responsable o encargado del tratamiento de datos personales debe considerar que si empieza la implementación de un sistema de cumplimiento de la normativa de protección de datos personales, luego de haber realizado el tratamiento de datos personales, probablemente se encontrará inmerso en algún hecho que, aunque haya sido superado o subsanado, seguirá siendo sancionable.
Así, a fin de minimizar el riesgo de una sanción por un “hecho superado”, todo proyecto que implique el tratamiento de datos personales debe incluir la privacidad “desde el diseño y por defecto”, que es un enfoque bajo el cual el cumplimiento del régimen de protección de datos personales es un elemento que está llamado a ser considerado desde el momento de creación del proyecto, y no una consideración posterior o incluso tardía. Esta aproximación es una forma de cumplir con el principio de responsabilidad demostrada, conforme al cual, quien realice el tratamiento de datos personales debe estar en la capacidad de demostrar que tiene medidas efectivas para cumplir con la normativa aplicable.
En todo caso, el hecho de asumir una actitud preventiva antes de recolectar datos personales y realizar cualquier forma de tratamiento, permite identificar e implementar medidas administrativas y tecnológicas suficientes para evitar violaciones a los derechos de los titulares de los datos personales, sea, por ejemplo, advirtiendo vulnerabilidades sobre la seguridad o confidencialidad de la información.
Esta perspectiva en la que todo proyecto debe ser ideado incorporando la privacidad “desde el diseño y por defecto”, redunda en la reducción del riesgo de eventuales sanciones y, además, brinda confianza a los titulares sobre los proyectos o esquemas de negocio que impliquen el tratamiento de datos personales, disminuyendo, en consecuencia, las implicaciones reputacionales que usualmente están ligadas a procesos administrativos sancionatorios.
