Una mirada experta al Proyecto de Ley de Datos Personales de Chile

La creación de la Agencia de Protección de Datos Personales será un hito importante / Wikimedia Commons; ZoomViewer
La creación de la Agencia de Protección de Datos Personales será un hito importante / Wikimedia Commons; ZoomViewer
El proyecto incorpora la obligación de las empresas de adoptar medidas de seguridad para asegurar la integridad, disponibilidad y confidencialidad de los datos.
Fecha de publicación: 14/08/2024

El 24 de julio, la Comisión Mixta del Senado chileno aprobó el texto final del proyecto de ley que modifica la Ley 19.628 sobre Protección de la Vida Privada y que aún espera por la aprobación del Senado y la Cámara de Diputados. Esta representa la actualización del marco normativo relacionado con la protección y tratamiento de los datos personales en línea, siguiendo los estándares internacionales que ha inspirado el Reglamento General de Protección de Datos (GDPR) de la Unión Europea.

A grandes rasgos, esta ley se aplicará a todas las personas naturales y jurídicas que guarden y procesen datos personales, exceptuando a quienes los traten en ejercicio periodístico, en todo el territorio nacional o desde afuera, si se trata de datos alojados en plataformas que ofrecen bienes y servicios a usuarios dentro de Chile.  

Estas personas serán vigiladas por la Agencia de Protección de Datos Personales, cuya creación está contemplada en la ley, que velará por su observancia. La Agencia tendrá facultades normativas, fiscalizadoras y sancionadoras y vigilará que los principios de licitud (el tratamiento de los datos personales debe ser legítimo y acreditado por su responsable) y lealtad, finalidad, proporcionalidad, calidad, confidencialidad y responsabilidad de la ley se respeten.


De interés: Expolios de guerra; la batalla entre la familia Cassirer y el Museo Thyssen-Bornemisza


Este proyecto de ley significa un gran avance en el resguardo de los datos personales y la protección de la vida privada en Chile, debido a que tiene como meta garantizar que el tratamiento de los datos personales se realice de una forma transparente, ética y segura. En este sentido, explica Juan Avendaño, director de privacidad, protección de datos y marcas de MICP Abogados, el proyecto incorpora la obligación de las empresas de adoptar medidas de seguridad para asegurar la integridad, disponibilidad y confidencialidad de los datos personales, para resguardarlos de accesos no autorizados, pérdidas o daños. 

Las organizaciones también deben notificar las brechas de seguridad que puedan comprometer los datos personales, de manera que se puedan tomar las medidas que sean necesarias de la forma más rápida posible, para reducir las consecuencias de estas brechas y proteger los datos de las personas. 

Aparte de la creación de la Agencia de Protección de Datos Personales, la nueva ley contempla la figura del delegado de protección de datos (Data Protection Officer o DPO), quien será un punto de contacto con la Agencia y asistirá a las empresas en la identificación de los riesgos relacionados con las actividades de tratamiento de datos. Este delegado es autónomo respecto de la administración de cada organización.


Relacionado: Ley de Delitos Económicos de Chile: La gestión de la propiedad intelectual en las matrices de riesgos de compliance


El DPO está relacionado con un Modelo de Prevención de Infracciones consistente en programas de prevención de infracciones a la Ley, este es certificado e inscrito en un Registro Nacional de Sanciones y Cumplimientos, dependiente de la Agencia, y requiere obligatoriamente de un DPO.

¿Cuáles otras novedades incluye este proyecto de ley?

Una figura que llaman Derechos Arcop, o derechos de los titulares de datos personales, que garantiza a estas personas el acceso, la rectificación, supresión, oposición, oposición a decisiones individuales automatizadas, portabilidad y bloqueo de sus datos personales (intransferibles e irrenunciables) de cualquier operación de tratamiento de sus datos, bajo determinadas normas.

Amplía la base de licitud cuando las personas otorguen su consentimiento –libre e informado– para el tratamiento de sus datos, lo que significa que se presume que el consentimiento no fue libre cuando quien trata los datos los recaba en medio de la ejecución de un contrato o los recaba mediante la prestación de un servicio que no requiere el tratamiento de datos.


Recomendamos: Smiley face, el logotipo de Nirvana, tiene una historia de disputa por derechos de autor


La recopilación de datos y su tratamiento está permitido cuando se trate de información bancaria, comercial o financiera; cuando se trate de información para trámites legales y celebraciones de contratos y para trámites y procesos ante tribunales y entes públicos.

El responsable de los datos está obligado a mantener la confidencialidad de los datos recopilados, excepto cuando su titular los haga públicos voluntariamente; también debe trabajar sobre el principio de información y transparencia, lo que significa que debe poner a disposición del público sus políticas de privacidad y cómo procesa los datos obtenidos; debe proteger por defecto los datos mediante la aplicación de medidas de protección específicas; debe adoptar medidas de seguridad para garantizar la confidencialidad de los datos; debe reportar a la Agencia todas las vulneraciones a sus medidas de seguridad; debe hacer una Evaluación de Impacto en Protección de Datos Personales (EIPDP), según los parámetros establecidos en el proyecto de ley, y regular el procesamiento de datos a través de un tercero a través de un contrato celebrado entre el responsable y el encargado.

De aprobarse, la ley introducirá multas según el tipo de infracción en que incurra el responsable, estas están categorizadas como infracciones leves (multa hasta 5.000 UTM), graves (hasta 10.000 UTM) y gravísimas (hasta 20.000 UTM). Las leves son, por ejemplo, el incumplimiento del deber de información y transparencia; las graves, el tratamiento de datos personales sin base de licitud, y las gravísimas, el tratamiento de datos personales de forma fraudulenta. 


Querrás leer: Ante los ciberataques: ¿Cuánto han avanzado las leyes en América Latina en protección de datos?


El proyecto de ley también categoriza los datos personales de la siguiente manera: sensibles (condiciones físicas o morales de las personas, background étnico; creencias religiosas o ideológicas; condición socioeconómica o de salud; orientación sexual e identidad de género, y afiliaciones políticas o sindicales); datos personales de niños, niñas y adolescentes; datos personales con fines históricos, estadísticos, científicos y de estudios o investigaciones, y de geolocalización.

¿Qué dicen los expertos?

Para Juan Avendaño, si se tiene como referencia la actual Ley 19.628 sobre Protección de la Vida Privada, los puntos más relevantes que introduce el proyecto de ley son la creación de la Agencia; la inclusión de la forma, medios y procedimiento para el ejercicio de los derechos de los titulares de los datos; las nuevas bases de legitimación para el tratamiento de datos personales distintas al consentimiento; el régimen de sanciones y la figura del DPO, considerado como requisito para la implementación de un modelo de prevención de infracciones.

Respecto a los servicios digitales y seguridad de la información, el proyecto de ley trae consigo “importantes cambios en beneficio de las personas titulares de los datos y de la seguridad de la información”, puesto que  impone a las organizaciones que tratan datos nuevas obligaciones para resguardar la confidencialidad, integridad y disponibilidad de los datos personales, tomando medidas adecuadas para evitar accesos no autorizados, daños, destrucción, alteración o pérdida de datos e información.

"Estos nuevos aspectos supondrán una mejora en la confianza de los usuarios, hará más transparente el tratamiento de los datos personales y dará valor agregado a aquellas organizaciones que cumplan con la nueva normativa. Esta nueva ley cambiará la forma en que las organizaciones utilizan los datos en los entornos digitales, mejorando la seguridad y privacidad de los datos personales", dice Avendaño.


No te pierdas: McDonald’s pierde en Europa el derecho a usar la marca Big Mac para su sándwich de pollo


Paola Belán, asociada de IVM Abogados, indica que la Nueva Ley, conjuntamente con la nueva Ley Marco de Ciberseguridad, el proyecto de ley que regula los sistemas de inteligencia artificial y la Ley de Delitos Informáticos de 2022, formarán un nuevo marco normativo moderno que será un incentivo para promover un manejo seguro de la información personal y para el crecimiento tecnológico en este entorno. Para ella, la nueva ley mejorará la interacción con todo tipo de servicios digitales, permitiendo la portabilidad de datos personales, que es el derecho del titular de solicitar y obtener del responsable una copia de sus datos personales en formato electrónico, que permita ser operado por diferentes sistemas y poder comunicarlos a otros responsables de datos.

Más allá de las innovaciones que introduciría la nueva ley de ser aprobada, está aparejada a desafíos legales y técnicos para las organizaciones, pues cumplir con la nueva ley implica un cambio de paradigma en la forma en que actualmente se tratan los datos personales en Chile.

El director de MICP Abogados especifica que, si bien la ley contempla un periodo de vacancia de 24 meses, este plazo puede ser insuficiente, ya que las organizaciones se enfrentarán a grandes desafíos, pues deberán revisar y ajustar todos sus procesos de recolección y tratamiento de datos para mapear y clasificar los distintos tipos de datos que pueden estar tratando, determinar y acreditar la base legal para dicho tratamiento, desarrollar e implementar políticas claras sobre protección de datos personales, capacitar de manera transversal a los colaboradores en esta materia, implementar medidas de seguridad de la información y crear canales adecuados para que los titulares ejerzan sus derechos y dar respuesta a ellos en los tiempos y en la forma establecida en esta nueva ley.


Para recordar: El ají margariteño es la octava Indicación Geográfica Protegida de Venezuela


"Para hacer frente a estos desafíos y adecuarse al nuevo estándar de cumplimiento que trae este proyecto de ley, es recomendable establecer una ruta de trabajo que permita a la organización, dentro de un periodo de tiempo determinado, llegar a un nivel adecuado de cumplimiento", indica.  

El abogado recomienda que, para adaptarse a esto, las empresas hagan un análisis que les entregue una visión actual de la organización en relación al punto del nuevo estándar de cumplimiento al que quieren y deben llegar. Para esto se requiere elaborar registros de actividades de tratamiento de datos, evaluación y gestión de riesgos y establecer controles destinados a mitigarlos; además, se requiere la implementación de medidas tecnológicas de seguridad y capacitación continua.

Adicionalmente, Paola Belán señala que un desafío legal es cómo, en la práctica, se probarán los requisitos que debe contener el consentimiento para ser considerado como una base de tratamiento (habilitante legal) lícita para el tratamiento de datos personales, mientras uno de los desafíos técnicos y económicos (y que se relaciona también con la nueva Ley Marco de Ciberseguridad N°21.633) será la promoción en las empresas de una nueva cultura corporativa, que incluso podrá generar nuevos puestos de trabajo, para adaptar a las empresas en el cumplimiento de la Nueva Ley y otros cuerpos legales relacionados. 

"En este sentido, no se trata únicamente de modificar o hacer cambios en cómo se presentan las políticas de privacidad y términos y condiciones en páginas web de las empresas chilenas, sino de algo mucho más profundo, que implica un cambio de mentalidad en cómo se tratan los datos personales, por ejemplo, de clientes", dijo la abogada.


Querrás leer: Medios de comunicación y derechos de autor, ¿es 'fair use' que las soluciones de inteligencia artificial se entrenen con obras?


El proyecto de ley actualiza muchas de las aristas necesarias para cumplir con los estándares internacionales de protección de datos; asimismo, la creación de la Agencia de Protección de Datos Personales será un hito importante en esta materia y la libre competencia y del consumidor. 

Esto según Daniela Gorab, abogada y profesora de Libre Competencia de la Universidad Adolfo Ibáñez, quien explicó en un artículo que es imperativo que se agilice la tramitación del proyecto de ley para alcanzar los estándares aplicados en los países desarrollados, con instituciones eficaces y una amplia protección de los derechos de los titulares de datos en la economía digital.

La protección de datos personales es vital para garantizar la libre competencia, apunta, debido a que “es un insumo clave y una fuente de ventaja competitiva que debe considerarse en el análisis de casos de abuso de dominancia y control de fusiones”; además de que, ya que en realidad no existen servicios digitales enteramente gratuitos, ya que “pagamos” por su uso con nuestros datos personales, su protección se convierte en un parámetro de competencia que afecta la calidad de los servicios y el bienestar de los consumidores.  

Para Gorab, Chile está rezagado en materia de protección de datos personales, pero este rezago se puede superar una vez se cree la Agencia de Protección de Datos Personales, que definirá el modelo de colaboración entre las autoridades de libre competencia y del consumidor.

Add new comment

HTML Restringido

  • Allowed HTML tags: <a href hreflang> <em> <strong> <cite> <blockquote cite> <code> <ul type> <ol start type> <li> <dl> <dt> <dd> <h2 id> <h3 id> <h4 id> <h5 id> <h6 id>
  • Lines and paragraphs break automatically.
  • Web page addresses and email addresses turn into links automatically.