Al proyecto solo le queda ser promulgado por el Ejecutivo y publicado en el Diario Oficial para convertirse en ley.
El pasado 14 de noviembre, el Tribunal Constitucional culminó el control preventivo del proyecto de ley que regula la Protección de Datos Personales y crea una Agencia del ramo, declarando todas sus normas constitucionales.
Para convertirse en ley, solo resta su promulgación y publicación en el Diario Oficial, lo que debería ocurrir durante las próximas semanas. Esta normativa comenzará a regir trascurridos 24 meses desde dicha publicación.
El ABC de la Nueva Ley
A. Sujetos Obligados
La nueva ley rige a todas las personas, naturales o jurídicas, que traten información personal, tanto como responsables como encargados del tratamiento, incluyendo pequeñas, medianas y grandes empresas, órganos del Estado, corporaciones, fundaciones y asociaciones, entre otras.
B. Innovaciones
- Nuevas bases de licitud: Se amplían las bases de licitud (autorización para tratar datos personales) más allá del consentimiento del titular y la ley, por ejemplo, interés legítimo, celebración o ejecución de un contrato y defensa de un derecho ante tribunales, entre otras.
- Derechos del titular: Se establecen los derechos de acceso, rectificación, supresión y oposición (incluyendo el de oponerse a decisiones automatizadas), bloqueo y portabilidad.
- Principios rectores del tratamiento de datos: El tratamiento de información personal deberá cumplir necesariamente con los principios explícitamente dispuestos de: licitud y lealtad, finalidad, proporcionalidad, calidad, responsabilidad, seguridad, transparencia e información y confidencialidad. Su incumplimiento conlleva infracción y sanciones.
- Nuevos deberes del responsable del tratamiento: Se disponen los deberes de proteger los datos desde el diseño y por defecto, reportar vulneraciones y adoptar medidas de seguridad, etc.
- Compliance en Protección de Datos Personales y DPO: Se crea un nuevo programa de prevención de infracciones o compliance, de carácter voluntario que, de implementarse y ser certificado por la Agencia, podría constituir una atenuante de responsabilidad. Este modelo incluye la figura de un delegado de protección de datos (DPO), que debe velar por el cumplimiento del programa.
C. Agencia, Sanciones y Registro
- Agencia de Protección de Datos Personales: Se crea una nueva autoridad con facultades para dictar normas, fiscalizar el cumplimiento de la ley y sancionar a los infractores, entre otros.
- Nuevo régimen sancionatorio: La infracción a los deberes, obligaciones y principios establecidos en la ley puede conllevar sanciones que van desde la amonestación por escrito a multas de hasta 20 mil UTM (US$1.5M aprox.), incluyendo en ciertos casos la suspensión del tratamiento de datos por 30 días.
- Registro Nacional de Sanciones y Cumplimiento: Se crea un registro administrado por la agencia, que consignará a los responsables que hayan adoptado un modelo de prevención de infracciones certificado y las sanciones impuestas a infractores de ley.
Para obtener más información sobre estos temas, pueden contactar a:
Eugenio Gormáz | Socio | egormaz@az.cl
Ivonne Bueno | Directora az Tech | ibueno@az.cl
Antonia Nudman | Asociada Senior | anudman@az.cl
Carlos Lazcano | Asociado Senior | clazcano@az.cl
Fernanda Rodríguez | Asociada | frodriguez@az.cl
Esteban Orhanovic | Asociado | eorhanovic@az.cl
