En marzo de este año el Congreso de Chile recibió el proyecto de ley que regula el desarrollo de las plataformas de apuestas en línea (boletín N°14.838-03). Según indica su artículo 1°, se busca establecer las condiciones y requisitos para la autorización, funcionamiento, administración y fiscalización de las plataformas que permitan realizar apuestas en línea.
Sin embargo, siguiendo la tendencia de otras propuestas legislativas —actualmente en tramitación— que tratan temas asociados a la economía digital, el contenido del proyecto se extiende más allá de la finalidad que declara. A modo ejemplar, otorga facultades a la Superintendencia de Casinos, Apuestas y Juegos de Azar (SCAJ) para establecer y fiscalizar estándares de protección de los datos personales.
El riesgo está en repetir, como ocurrió con la actual Ley Pro-Consumidor, una eventual superposición, en este caso, entre las competencias de la SCAJ, la futura Agencia de Protección de Datos Personales (APD) y el Servicio Nacional del Consumidor (SERNAC).
Superposición de autoridades y normativas
De acuerdo con el Proyecto de Ley, los usuarios de las plataformas de apuestas en línea tendrán derecho a reclamar ante la SCAJ las infracciones que ellas cometan. Al mismo tiempo, en la medida en que las infracciones constituyan un incumplimiento de las normas de protección a los consumidores, también podrán hacerlo ante el SERNAC. A ello se añade que la SCAJ contará con facultades para fiscalizar a las plataformas y sancionarlas en caso de que identifique inobservancias a las disposiciones del Proyecto de Ley.
En el ámbito del tratamiento de datos personales, específicamente sobre las infracciones contempladas en el Proyecto de Ley, tendrán lugar, en general, cuando las plataformas incumplan los estándares técnicos de protección de datos establecidos por la SCAJ o, en particular, cuando comuniquen a terceros la información de carácter personal de los usuarios sin su consentimiento expreso.
Las recién citadas normas, prevemos, no pueden sino ser problemáticas:
Desde la entrada en vigencia de la Ley N°21.398, la llamada ley pro-consumidor, el SERNAC cuenta con facultades fiscalizadoras e interpretativas en lo que respecta a los tratamientos de datos personales que se realicen en el marco de relaciones de consumo. Son estas relaciones las que precisamente el Proyecto de Ley reconoce entre las plataformas y sus usuarios, lo que configura la primera capa de duplicidad de funciones.
Cabe tener presente que, lejos de quedarse en la inactividad, el SERNAC ya ha ejercido sus nuevos poderes y no se ven limitantes para que lo haga igualmente en la esfera de las apuestas en línea. Un ejemplo claro en este sentido es la Circular Interpretativa del organismo, de fecha 22 de febrero de 2022, sobre criterios de equidad en las estipulaciones contenidas en contratos de adhesión referidos a la recolección y tratamiento de datos personales de consumidores.
En segundo lugar, y quizás de mayor relevancia aún, el Proyecto de Ley crea un posible conflicto de competencias con la Agencia de Protección de Datos (APD), que será creada por el proyecto de ley que regula la protección y el tratamiento de datos personales (boletines N°11.144-07 y N°11.092-07). Considerando que las facultades de la APD serán de carácter transversal, no sectoriales, las plataformas de apuestas en línea no solo deberán cumplir con las normas que la APD y la SACJ establezcan en ejercicio de sus potestades regulatorias, sino también quedarán expuestas a la fiscalización y sanción de ambas entidades.
El cálculo de las multas
El problema se agudiza al analizar la infracción especial contemplada en el Proyecto de Ley, consistente en el traspaso no consentido de datos personales. En este caso, el conflicto es tanto de procedimiento como de cuantía de la sanción.
En cuanto al procedimiento, dependiendo de las circunstancias específicas de la comunicación de los datos que se realice, que se deberán analizar caso por caso, el procedimiento sancionatorio podrá ser el establecido en la Ley N°19.995 sobre casinos de juego, el establecido en el proyecto de ley de datos personales ante la APD o incluso ambos.
En cuanto a la cuantía de la sanción, el Proyecto de Ley establece que esta podrá consistir en la revocación de la licencia de la plataforma en incumplimiento y también multas que oscilan entre las 500 y 2.000 unidades tributarias mensuales (equivalentes aproximadamente a entre USD 32.000 y 130.000) o el equivalente a los beneficios obtenidos por la ejecución de la conducta.
Según el boletín de datos personales, en cambio, la comunicación de datos realizada sin el consentimiento de los titulares en los casos que la ley lo requiera será sancionada con multas de 101 a 5.000 unidades tributarias mensuales (equivalentes aproximadamente a entre USD 6.500 y 325.000), sin perjuicio de posibles sanciones accesorias que podrá imponer la APD. El desajuste podría ser aún más grave considerando que el Proyecto de Ley permite rebajar el monto de las multas hasta en un 80% en caso de autodenuncia.