Nueva de Ley de Protección de Datos Personales en Chile
Chile se encuentra en un momento de transición hacia una ambiciosa normativa de protección de datos personales que modificará de manera relevante el marco legal aplicable al tratamiento de este tipo de datos.
Carolina Flisfisch, abogada especialista socia en Cariola Díez Pérez-Cotapos
Luego de casi 8 años de tramitación legislativa, el Proyecto de Ley Sobre Protección de Datos Personales (Boletín 11.144-07), fue aprobado por el Congreso el día el 26 de agosto de 2024, encontrándose pendiente el examen de constitucionalidad ante el Tribunal Constitucional y su posterior envío al Presidente de la República para su promulgación. Una vez publicada en el Diario Oficial- que se espera ocurrirá dentro del último semestre del 2024-, la ley contempla un periodo de 24 meses para su entrada en vigencia, periodo que servirá para que las empresas puedan implementar los cambios necesarios para dar cumplimiento a la ley.
La nueva ley, que reemplaza el texto vigente de la Ley N° 19.628 sobre Protección de la Vida Privada y Protección de datos de carácter personal, sigue los principios y directrices del Reglamento Europeo de Protección de Datos (GDPR), elevando de manera importante los estándares aplicables para el tratamiento de datos personales.
Con motivo de este cambio legal, las empresas, independiente de su actividad comercial o tamaño, deberán ajustar sus procesos, sistemas y gobierno interno para adoptar estos nuevos estándares, de manera de evitar ser objeto de importantes sanciones que pueden ascender, en caso de infracciones gravísimas, hasta la cantidad aproximada US$1.400.000, así como riesgos de pérdida de negocios y eventuales daños reputacionales.
Los principales cambios que incorpora la nueva ley dicen relación con lo siguiente:
1. Alto estándar para tratar datos personales: Se elevan los estándares para el tratamiento de datos personales, ya sean datos relativos a clientes, proveedores, trabajadores u otro tipo de personas. Así, para tratar datos personales, las organizaciones deberán contar con el consentimiento del titular, o bien otra de las bases de licitud que contempla taxativamente la ley (cumplimiento de una obligación legal, ejecución de un contrato, interés legítimo, entre otras). Cabe destacar que el texto definitivo de la ley eliminó la posibilidad de tratar datos personales provenientes de fuentes de datos accesibles al público (registros públicos, certificados del Registro Civil, boletín concursal, etc.) si no se cuenta con una de las bases de licitud antes mencionadas. Asimismo, el tratamiento de datos personales debe realizarse en cumplimiento de una serie de principios, tales como el “principio de finalidad”, que implica que éstos sólo pueden ser utilizados para los fines específicos, explícitos y lícitos para los cuales fueron recolectados; el “principio de proporcionalidad”, que exige el tratamiento se limite estrictamente a los datos y por el periodo de tiempo estrictamente necesarios; el “principio de calidad”, conforme al cual los datos tratados deben ser exactos, completos, actuales y pertinentes; y el “principio de transparencia e información”, según el cual se debe entregar al titular de datos toda la información que sea necesaria para el ejercicio de sus derechos. En el caso de datos personales sensibles, su tratamiento sólo puede realizarse previo consentimiento del titular, salvo limitadas excepciones que establece la ley. Por su parte, otras categorías de datos personales contempladas, como datos biométricos; datos relativos a niños, niñas y adolescentes; datos con fines históricos, estadísticos, científicos y de estudios o investigaciones; y datos relativos a obligaciones de carácter económico, financiero, bancario o comercial, cuentan con una regulación especial para su tratamiento.
2. Nuevas obligaciones y deberes del responsable de datos: La nueva ley establece una serie de obligaciones y deberes aplicables a los responsables del tratamiento de datos, tales como mantener secreto o confidencialidad de los datos personales; contar con políticas internas de tratamiento de datos personales, implementar políticas y medidas de seguridad para proteger las bases de datos que administran, y reportar a la Agencia de Protección de Datos las vulneraciones de seguridad y filtraciones de datos personales.
3. Derechos de los titulares de datos: Los titulares de datos personales tendrán en todo momento el derecho de conocer qué datos personales suyos tiene una organización y cómo los usa (acceso), el derecho de solicitar que se corrijan sus datos personales inexactos o incompletos (rectificación), el derecho de requerir que se eliminen sus datos personales cuando ya no son necesarios o se han procesado ilegalmente (supresión), derecho a oponerse al procesamiento de sus datos personales (oposición), y derecho a solicitar que se le entreguen sus datos personales en un formato estructurado y que sean transferidos a otras organización (portabilidad). Por su parte, las organizaciones, están obligadas a disponer de medios para responder los requerimientos efectuados por los titulares de datos en el plazo que establece la ley (30 días prorrogables por 30 días adicionales). Ello implicará un desafío relevante para las organizaciones, ya que, primero, deberán conocer qué datos personales se encuentran en su poder, por qué los tienen y cuál es la base de licitud que fundamenta su tratamiento, y segundo, deberán contar con procesos y sistemas que les permitan atender oportunamente las solicitudes efectuadas por los titulares de datos, so pena de infringir la ley.
4. Nueva autoridad de control y supervisión: La ley contempla la creación de una Agencia de Protección de Datos Personales, un organismo estatal independiente, con facultades reguladoras, fiscalizadoras y sancionadoras. Su misión será velar por el cumplimiento de la normativa de protección de datos personales, encontrándose facultada para dictar normas que regulen el tratamiento de datos personales, aplicar e interpretar la ley y normativa complementaria, fiscalizar su cumplimiento, determinar las infracciones y sanciones, entre otras. De esta manera, la nueva ley contará con mecanismos efectivos y expeditos para que los titulares de datos puedan hacer valer sus derechos y los infractores sean sancionados, lo cual es una diferencia sideral respecto de la ley vigente, cuyo incumplimiento debe reclamarse ante los tribunales ordinarios de justicia, con una escasa aplicación en la práctica. Asimismo, la Agencia de Protección de Datos Personales administrará un Registro Nacional de Sanciones y Cumplimiento, de acceso público y gratuito, donde se consignarán las entidades sancionadas por infracciones a la ley.
5. Sanciones y multas: A diferencia de la ley vigente, cuyas infracciones dan lugar al derecho a reclamar una indemnización de perjuicios en contra del responsable, la nueva ley contempla un sistema escalonado de sanciones que, en caso de infracciones gravísimas, considera multas de hasta un 4% de los ingresos anuales del responsable de datos en el último año calendario, con un límite máximo de 20.000 UTM. Asimismo, en caso de infracciones gravísimas, la Agencia puede disponer la suspensión de las operaciones y actividades de tratamiento de datos. Cabe señalar que, durante los primeros 12 meses de vigencia de la ley, la Agencia podrá aplicar como sanción una amonestación por escrito a las empresas calificadas de menor tamaño.
6. Transferencias internacionales de datos personales: En línea con la normativa de la Unión Europea, la nueva ley establece estrictos requisitos para la transferencia internacional de datos personales, lo cual tiene especial relevancia para la externalización de servicios en el extranjero, como por ejemplo, servicios de call center o de almacenamiento en la nube. La ley dispone que es lícita la transferencia de datos personales a países que cumplan con estándares similares o superiores a los que tendrá nuestro país, para lo cual la Agencia publicará un listado con los países permitidos. En caso de transferencias de datos a países que no proporcionen niveles adecuados, el responsable deberá contemplar garantías de protección, conforme a los lineamientos establecidos en la ley.
Como puede apreciarse, la nueva ley de protección de datos personales introducirá cambios relevantes en la forma como las empresas manejan los datos personales que se encuentran bajo su poder. Ello implicará la adaptación de procesos, sistemas tecnológicos, documentos legales y la cultura empresarial. A diferencia de lo que ocurre con la ley vigente, la nueva ley contempla multas relevantes en casos de infracciones y una Agencia estatal encargada de velar por su cumplimiento, con amplias facultades reguladoras, fiscalizadoras y sancionadoras. Si bien la nueva ley contempla un periodo de dos años para su entrada en vigencia, puede no ser suficiente para la implementación de los cambios requeridos. En vista de lo anterior, es recomendable que más temprano que tarde las empresas realicen un diagnóstico de su estado de cumplimiento, de manera de no correr el riesgo de quedarse atrás.
Conceptos clave
¿Qué es un dato personal?: Cualquier información vinculada o referida a una persona natural identificada o identificable, denominada “titular de datos”. Por ejemplo, son datos personales el nombre, RUN, fecha de nacimiento, claves de acceso, gustos, imagen, entre otros, que puedan ser vinculadas o relacionadas a una persona, con uso de recursos de una organización. La nueva ley contempla categorías especiales de datos personales, con requisitos especiales para su tratamiento. Destacan los datos personales sensibles, que se refieren a las características físicas o morales de las personas o hechos o circunstancias de su vida privada o intimidad.
¿Qué es un tratamiento de datos?: Toda acción automatizada o no, que permita recolectar, procesar, almacenar, comunicar, transmitir o utilizar datos personales o conjuntos de datos personales.
¿Quién es un responsable?: Toda persona natural o jurídica, pública o privada, que decide acerca de los fines y medios del tratamiento de datos personales, con independencia de si los datos son tratados directamente por ella o a través de un tercero mandatario o encargado.
También te podría interesar: La consistencia de un propósito