La Ley de Protección de Datos que modifica la Ley N° 19.628 (Sobre Protección de la Vida Privada) tiene como objetivo garantizar el derecho a la privacidad de las personas, regulando en gran parte la forma de tratar los datos personales. Cabe señalar que tiene una fuerte influencia en el Reglamento General de Protección de Datos (RGPD) de la Unión Europea, estableciendo principios y obligaciones para asegurar la transparencia, legalidad y seguridad en el uso de datos, otorgando a los individuos derechos fundamentales respecto a su información personal.

Ámbito de aplicación:

El artículo 1 establece que se aplicará lo contenido en esta ley a:

• Entidades Públicas.

• Entidades Privadas.

• Cualquiera sea su naturaleza comercial, pública o no gubernamental.

No se aplicarán a los datos personales utilizados sólo para fines domésticos o propios que no afecten a terceros.

Cabe destacar que esta ley homologa lo ya establecido en el Reglamento General de Protección de Datos de la Unión Europea.

Conceptos claves:

Datos Personales: Información que identifica o puede identificar a una persona natural.

Datos Sensibles: Datos que revelan origen racial, salud, vida sexual, opiniones políticas, creencias religiosas, entre otros.

Tratamiento de Datos: Cualquier operación realizada con datos personales, incluyendo recolección, almacenamiento, modificación, y eliminación.

Principios del Tratamiento de Datos:

• Legalidad y transparencia.

• Limitación de la Finalidad: Los datos deben ser recolectados con fines específicos, legítimos y no ser utilizados para otros fines.

• Minimización de Datos: Solo se pueden recopilar los datos necesarios para cumplir con el objetivo.

• Exactitud: los datos deben ser exactos y actualizados cuando sea necesario.

• Limitación del Plazo de Conservación: No deben ser conservados por más tiempo del necesario para cumplir su finalidad.

• Seguridad: Se deben implementar medidas técnicas y organizativas para proteger los datos personales contra accesos no autorizados, pérdida o destrucción.

Derechos de los Sujetos de Datos (Art. 10 al 14):

• Derecho de Acceso: Los individuos tienen derecho a conocer qué datos se están procesando sobre ellos y obtener una copia.

• Derecho de Rectificación: Los individuos pueden solicitar la corrección de datos personales incorrectos o incompletos.

• Derecho de Cancelación: se puede solicitar la eliminación de sus datos personales cuando ya no sean necesarios.

• Derecho de Oposición: se pueden oponer al tratamiento de sus datos por razones legítimas y específicas. 

• Derecho a la Portabilidad: los individuos tienen derechos a recibir sus datos en un formato estructurado, de uso común y lectura mecánica, también a transferirlo a otro responsable del tratamiento. 

Responsabilidad de los Controladores y Encargados del Tratamiento de datos (Art. 15 al 19)

• Responsabilidad Proactiva: El Controlador debe implementar políticas y procedimientos para asegurar el cumplimiento de la ley. 

• Registro de Actividades de Tratamiento: Mantener un registro detallado de todas las actividades de tratamiento de información realizadas. 

• Notificación de Brechas de Seguridad: Informar a la autoridad de protección de datos y a los afectados en caso de incidentes que comprometan datos personales. 

• Evaluación de Impacto: se deben realizar evaluaciones de riesgos en el tratamiento de datos, que impliquen afectar derechos y libertades de los individuos.

• Designar a un Delegado de Protección de Datos.

¿Cuál será la entidad encargada de velar por el cumplimiento de esta ley? Autoridad de Protección de Datos

Se establece una autoridad independiente encargada de supervisar y garantizar el cumplimiento de esta ley. Tiene facultad de investigar quejas, imponer sanciones y emitir directrices sobre la protección de datos personales. 

Al tener facultad de investigación podrá realizar auditorías, solicitar información, acceder a los documentos y sistemas necesarios para llevar a cabo sus funciones.

Resolverá los conflictos y quejas que se le presenten relacionados con el tratamiento de datos personales, si detecta infracciones, aplicará toda sanción que le permita la normativa.

Sanciones:

Las sanciones podrán ser económicas, administrativas o solo medidas correctivas. 

• Multas: La autoridad ponderará según la gravedad de la infracción y el tamaño de la entidad responsable. Las sanciones pueden ser hasta el 4% del volumen de negocios anual global de la entidad.

• Sanciones Administrativas: En estos casos se incluyen advertencias, sanciones públicas (no celebrar contratos con el estado, por ejemplo) y la suspensión temporal o definitiva de tratamiento de datos personales.

• Medidas Correctivas: Su objetivo es subsanar las infracciones.

Los montos varían entre 5.000 UTM, 10.000 UTM y 20.000 UTM, se debe considerar la gravedad de la infracción. Estas multas son las más altas en nuestro universo normativo.

De todas formas, las entidades contarán con un Recurso de Apelación ante el Tribunal Administrativo de Protección de Datos, el plazo de este recurso tendrá vigencia de 30 días hábiles a partir de la notificación de la sanción o decisión impugnada.

Para finalizar, esta ley entra en vigor al día siguiente de la publicación en el Diario Oficial, las entidades tienen un plazo de 24 meses para aplicar estas nuevas disposiciones.

Conclusión:

Para finalizar esta ley no solo busca regular el manejo responsable de la información personal, sino también establecer un marco sancionatorio en caso de incumplimiento. Teniendo en cuenta la existencia de una Autoridad de Protección de Datos se refuerza la vigilancia ante las entidades públicas y privadas que tratan información personal, promoviendo así una mayor seguridad y confianza en el uso de los datos.

Felipe Astudillo - Abogado Jefe