Congreso Nacional aprobó el proyecto de ley que modifica sustancialmente la ley sobre Protección de la Vida Privada, o mejor dicho, la próxima Ley Sobre Protección de los Datos Personales.
Tras 7 largos años de tramitación, con fecha 26 de agosto del 2024, el Congreso Nacional aprobó el proyecto de ley que modifica sustancialmente la ley 19.628 sobre Protección de la Vida Privada, o mejor dicho, la próxima Ley Sobre Protección de los Datos Personales.
El proyecto fue aprobado en su mayoría por el Congreso, a excepción del Artículo 55 que hace referencia al tratamiento de datos personales por parte de Órganos del Estado.
Ahora, solo queda esperar la aprobación del Tribunal Constitucional para que posteriormente sea promulgada por el Presidente de la República.
El cambio regulatorio en torno a los requisitos y las obligaciones vinculadas al tratamiento de datos personales es radical y de un impacto significativo. Así, las modificaciones afectarán esencialmente la esfera de la cultura organizacional de toda empresa o institución, ya sea pública o privada en cuanto realice tratamiento de datos personales de terceros.
A partir de esta descripción, podemos entender el peso de la modificación legislativa, en cuanto claramente al día de hoy no existe organización o institución que no recolecte, use, almacene, comunique y general trate, información de carácter personal.
En este contexto, el llamado a informarse y anticiparse a la entrada en vigencia de la norma parece ser la única estrategia viable. Esto último, si consideramos que las nuevas disposiciones normativas afectarán trasversalmente el manejo de la institución que haga internamente en cada institución y considerando las sanciones involucradas, disminuir el margen de error y mitigar riesgos pasa a ser prioritario.
Una buena forma de partir, es teniendo en la mira las principales actualizaciones y cambios que modifican significativamente el panorama regulatorio en nuestro país:
- Bases de Licitud: Se modifican los requisitos del consentimiento del titular para su tratamiento, que tenía que ser por escrito, pudiendo ser ahora oral e incluso por medios electrónicos, en línea con la práctica de las empresas.
Se incorporan además otras bases de licitud adicionales al consentimiento del titular y la ley (como la ejecución de un contrato entre las partes o el interés legítimo), y se elimina a los datos recopilados de fuentes de libre acceso al público como habilitante autónoma para el tratamiento (los datos de fuentes publicas deberán igualmente fundarse en alguna base de licitud para su tratamiento).
- Reconocimiento expreso de los principios: Se tipifican expresamente los principios que deben integrar el tratamiento de datos personales (antes estaban difuminados y se discutía la procedencia de algunos). La aplicación de los principios será real y efectiva, ya que su contravención será sancionada conforme al Régimen Sancionatorio.
- Modificación en los derechos de los titulares: Se crea el derecho de Portabilidad, que permite al titular solicitar copia de los datos tratados, en un formato que favorezca su portabilidad para ser operados por distintos sistemas, y se modifica el nombre del derecho de “cancelación” por “supresión”.
De esta forma, se cambia el acrónimo ARCO por PROSA (Portabilidad-Rectificación-Oposición-Supresión-Acceso). También se incluye el derecho a bloqueo en determinados supuestos.
- Creación de Entidad Fiscalizadora: Se crea la Agencia de Protección de Datos Personales, corporación autónoma de derecho público, que se relacionará con el Presidente de la República a través del Ministerio de Turismo, y cuyo fin será la fiscalización de esta ley y la dictación de pautas y directrices para su correcta aplicación. Asimismo, tendrá facultades normativas, fiscalizadoras y sancionadoras.
- Creación de Régimen Sancionatorio: Se crea un esquema de infracciones (leves, graves y gravísimas) junto con sus correspondientes sanciones asociadas (con multas que van desde 5.000 UTM hasta 20.000 UTM), y se crea un procedimiento sancionador ante la agencia.
En el procedimiento habrá agravantes y atenuantes, una de las cuales será la adopción de un Modelo de Prevención de Infracciones, que si es certificado por la Agencia, atenuará la responsabilidad del responsable ante un eventual incumplimiento.
- Regulación de la figura de Data Protection Officer: Se incorpora la figura internacional de DPO o Data Protection Officer, bajo la denominación de “Delegado de Protección de Datos”, y se recogen sus funciones.
Su incorporación NO es obligatoria, sino que podrá ser incorporada por las empresas en el marco de la adopción voluntaria de un Modelo de Prevención de Infracciones.
- Regulación de la Transferencia Internacional de Datos: Se regula la transferencia internacional de datos, replicando los estándares internacionales y privilegiando la transferencia a países en que la regulación de datos personales sea adecuada. Es decir, cuyo estándar sea igual o superior que al de Chile.
- Obligaciones para el Responsable y Encargado: Se tipifican diversas obligaciones para el Responsable del Tratamiento, pero también se imponen obligaciones a los Encargados del Tratamiento, por lo que todo actor involucrado en el tratamiento de datos deberá evaluar y revisar las obligaciones que le competan según su rol en el tratamiento.
Dentro de las obligaciones se incluyen;
- El deber de adoptar medidas de seguridad y reportar posibles vulneraciones a la agencia.
- El deber de secreto o confidencialidad.
- El deber de información y transparencia.
- El deber que busca incorporar la protección desde el diseño y por defecto, regular debidamente el procesamiento de los datos cuando sean tratados por un mandatario o encargado.
- Realizar Evaluación de Impacto en Protección de Datos Personales en el caso que apliquen las circunstancias que regula la norma.
- Periodo de entrada en vigencia: La entrada en vigencia de la nueva normativa será un plazo de 2 años contados desde la fecha en que se publique la ley en el Diario Oficial.
Además, habrá un plazo de 12 meses desde la fecha de entrada en vigencia, en que la PYMES serán sancionadas solo con amonestación, para favorecer su adecuación al nuevo estándar normativo.
Así, Chile toma una posición de ventaja a nivel colectivo, no solamente a partir de la regulación que implica el respeto y resguardo a un derecho fundamental que es imprescindible y sustancialmente valioso en la era digital, sino que también a nivel comercial al verse posicionado como una referencia a nivel latinoamericano y como un país mucho más atractivo a la hora de contratar con respecto a aquellas compañías que deban cumplir con estándares de niveles altos en torno al resguardo y seguridad de la información, como es el caso de la Unión Europea.
Ahora, con respecto a la ventaja individual también toca aprovecharla. Ello, implica el llamado a los nosotros, como titulares de la información, a valorizar y concientizar nuestros derechos en torno a su manejo y resguardo.
Por otro lado, con respecto a las instituciones que se vean obligadas, deben aprovechar los 24 meses de vacancia como una oportunidad estratégica y única para anticiparse al nuevo panorama regulatorio y disminuir las consecuencias que se generen a partir de situaciones de incumplimiento se vuelve un paso imprescindible.
Para obtener más información sobre estos temas, pueden contactar a nuestro equipo IP, Tech and Data:
Rodrigo Albagli | Socio | ralbagli@az.cl
Eugenio Gormáz | Socio | egormaz@az.cl
Antonia Nudman | Asociada Senior | anudman@az.cl
Carlos Lazcano | Asociado Senior | clazcano@az.cl
Fernanda Rodríguez | Asociada | frodriguez@az.cl
Esteban Orhanovic | Asociado | eorhanovic@az.cl
Sé parte de nuestra plataforma multimedia y podrás recibir las últimas novedades legales, eventos, podcazt y webinars.