La nueva regulación tendrá un plazo de 24 meses para su entrada en vigencia.
Con fecha 13 de diciembre de 2024, el Ejecutivo publicó en el Diario Oficial la Ley N° 21.719, que modifica, entre otras, la Ley N°19.628, y que regula la protección y el tratamiento de los datos personales y crea la Agencia de Protección de Datos Personales.
Es importante mencionar que esta ley modifica sustancialmente la ley actual que rige la materia (Ley N°19.628), elevando estándares, obligaciones, derechos y sanciones conforme a las mejores regulaciones comparadas.
Asimismo, modifica algunas normas de la Ley N°20.285 sobre Acceso a la Información Pública, y de la Ley N°19.496 que establece normas sobre Protección de los Derechos de los Consumidores.
La ley entrará en vigencia según lo indicado en la nueva normativa «entrará en vigencia el día primero del mes vigésimo cuarto posterior a la publicación de esta ley en el Diario Oficial».
Esta fecha define varios hitos que deberán cumplirse en los siguientes plazos:
- Dictación de los Reglamentos de la ley: Dentro de los 6 meses siguientes a dicha publicación.
- Eliminación del registro de bancos de datos personales dispuesto en el actual artículo 22 de la Ley N°19.628: Dentro de los 60 días antes a la entrada en vigencia de la nueva ley (mes 22).
- Primera designación de consejeros, presidente y vicepresidente del Consejo Directivo de la Agencia: Dentro de los 60 días anteriores a la entrada en vigencia de la ley (mes 22).
- Proposición de los estatutos de la agencia: Dentro de los 90 días siguientes a la entrada en vigencia de la ley.
- Marcha blanca sancionatoria (facultativa) para empresas de menor tamaño: Durante los primeros 12 meses luego de la entrada en vigencia de la ley. Durante este periodo la agencia podrá aplicar como sanción la amonestación por escrito, la que igualmente deberá ser inscrita en el futuro Registro Nacional de Sanciones y Cumplimiento.
- Dictación de Políticas, normas e instrucciones por Congreso Nacional, Poder Judicial y organismos públicos dotados de autonomía constitucional: Dentro de los 18 meses siguientes a su publicación.
¿Qué cambios propone la nueva ley?
No cabe duda de que los cambios de la nueva normativa son significativos:
- Creación de una Agencia de Protección de Datos Personales.
- Nuevas bases de licitud que habilitan a tratar datos personales, que se suman a la actuales (ley y el consentimiento).
- Principios expresos que regulan el tratamiento de datos.
- Obligaciones y deberes claros para responsables y mandatarios del tratamiento.
- Derechos de los titulares reforzados: a los derechos de acceso, rectificación, supresión, bloqueo y oposición se suma el de portabilidad y el de oponerse a decisiones basadas en el tratamiento automatizado de datos personales.
- Regulación del tratamiento de categorías especiales de datos personales (datos de niños, niñas y adolescentes, de salud, biométricos, entre otros).
- Regulación de las transferencias internacionales de datos.
- Incorporación de un nuevo compliance en protección de datos al ecosistema existente.
- Clasificación de infracciones en leves, graves y gravísimas.
- Sanciones asociadas al tipo de infracción que van desde la amonestación por escrita a multas de hasta US$1.3M, más otras accesorias, con posibilidad de incremento en caso de reincidencia.
Para obtener más información sobre el funcionamiento y los plazos de la nueva ley, pueden contactar a:
Rodrigo Albagli | Socio | ralbagli@az.cl
Eugenio Gormáz | Socio | egormaz@az.cl
Ivonne Bueno | Directora az Tech | ibueno@az.cl
Yoab Bitran | Director Grupo Compliance | ybitran@az.cl
Antonia Nudman | Asociada Senior | anudman@az.cl