Nadie lee la política de privacidad de datos, vamos aceptando “cookies” y entregando nuestros datos personales por la vida

Te piden el rut para todo
Te piden el nro de documento
Te piden tú clave única
Te piden fotos de tu cédula de identidad
Peor aún, sacan fotocopia a la cédula de identidad

Y después nos quejamos de llamadas telefónicas dónde ofrecen algo que nadie pidió.

Inteligencia artificial, machine learning, data science...¿quién autorizó eso?

Todo eso se regula, nuestra privacidad está primero. La ley 19.628 se modifica con la ley 21.719 que tiene por objeto actualizar el marco normativo respecto de la protección y tratamiento de los datos personales. Buscando un equilibrio entre la privacidad de las personas y la libre circulación de información.

En este artículo quiero contarles lo que creo más relevante al respecto de esta ley. Por supuesto mi recomendación es que la leas completa, la mejor forma de perderse algo es un resumen.

Esto es lo que viene:

• Ámbito de aplicación

• Principios que rigen el tratamiento de datos personales

• Regla general del tratamiento y base de licitud

• Derechos de los titulares de datos personales

• Deberes de los responsables del tratamiento de datos

• Transferencia internacionales de datos personales

• Agencia de protección de datos personales

• DPO y Modelo de prevención de infracciones

• Infracciones y sanciones asociadas

• Entrada en vigencia (fechas)

Ámbito de aplicación

En primer término, la Ley se aplicará a toda persona natural o jurídica, inclusive órganos públicos, que realicen un tratamiento de datos personales

En cuanto al ámbito territorial, la Ley se aplicará a todo tratamiento de datos personales realizado por aquellos “responsables” (definidos como “toda persona natural o jurídica, pública o privada, que decide acerca de los fines y medios del tratamiento de datos personales”) o “mandatarios” (es decir “la persona natural o jurídica que trata datos personales, por cuenta del responsable de datos”):

1. Establecidos en el territorio nacional.

2. Que realicen operaciones de tratamiento de datos personales a nombre de un responsable establecido en el territorio nacional

3. Cuyas operaciones de tratamiento de datos estén destinadas a ofrecer bienes o servicios a titulares que se encuentren en Chile.

Principios que rigen el tratamiento de los datos personales

La Ley introduce varios principios que los sujetos (obligados) deberán observar al momento de efectuar un tratamiento de datos personales. Entre estos principios se encuentran:

• Principio de licitud y lealtad: el tratamiento de los datos personales debe ser lícito y leal, y el responsable tiene la carga de acreditarlo.

• Principio de finalidad: los datos personales deberán ser recolectados con fines específicos, explícitos y lícitos, a los cuales se limitará el tratamiento.

• Principio de proporcionalidad: los datos personales tratados deberán limitarse estrictamente a aquellos necesarios, adecuados y pertinentes en relación con los fines del tratamiento.

• Principio de calidad: los datos personales deben ser exactos, completos, actuales y pertinentes según su proveniencia y fines del tratamiento.

• Principio de confidencialidad: el responsable del tratamiento de datos personales y quienes tengan acceso a ellos deberán guardar secreto o confidencialidad de estos.

• Principio de responsabilidad: los responsables del tratamiento de datos personales serán legalmente responsables del cumplimiento de los principios que señala la Ley.

Regla general del tratamiento y base de licitud

La Ley amplía también el catálogo de base de licitud para el tratamiento de datos personales, que estará permitido en los siguientes casos:

1. Cuando su titular otorgue el consentimiento para ello, consentimiento que deberá ser libre, informado y específico en cuanto a la finalidad del tratamiento. En este sentido, se presume que el consentimiento para tratar datos no ha sido libremente otorgado cuando el responsable lo recaba en el marco de la ejecución de un contrato o la prestación de un servicio en que no es necesario efectuar esa recolección.

2. Cuando se trate de datos relativos a obligaciones económicas, financieras, bancarias o comerciales, y se sujeten a las disposiciones específicas del Título correspondiente de la Ley.

3. Cuando el tratamiento sea necesario para la ejecución de una obligación legal.

4. Cuando el tratamiento sea imprescindible para la celebración de un contrato entre el titular y el responsable.

5. Cuando el tratamiento sea indispensable para la satisfacción de intereses legítimos del responsable o de un tercero.

6. Cuando el tratamiento sea necesario para la formulación, ejercicio o defensa de un derecho ante tribunales u organismos públicos

7. Cuando así lo disponga la Ley.

Derechos de los titulares de datos personales

La Ley señala que toda persona, actuando por sí o representada, tendrá los derechos de:

1. Derecho de acceso: el titular podrá exigir del responsable

   1. Confirmación de si sus datos están siendo tratados por él

   2. Cuáles son los datos tratados y su origen

   3. Finalidad del tratamiento

   4. Destinatarios de los datos en caso de cesión

   5. Tiempo de tratamiento, entre otros.

2. Derecho de rectificación: el titular podrá requerir del responsable la rectificación de sus datos personales cuando estos sean inexactos, desactualizados o incompletos.

3. Derecho de supresión: el responsable, a solicitud del titular, deberá eliminar los datos personales que le conciernen bajo diversas hipótesis.

4. Derecho de oposición: el titular podrá oponerse a un tratamiento específico o determinado que realice el responsable, cuando

   1. La base de licitud sea la satisfacción de intereses legítimos

   2. Los fines del tratamiento sean exclusivamente la mercadotecnia o marketing directo de bienes

   3. Se realice únicamente sobre la base de haber obtenido los datos de una fuente de acceso público.

5. Derecho de oposición a decisiones individuales automatizadas: el titular podrá oponerse y a no ser objeto de decisiones basadas en el tratamiento automatizado de sus datos personales, salvo bajo determinados supuestos.

6. Derecho de bloqueo: el titular podrá solicitar la suspensión temporal de cualquier operación de tratamiento de sus datos, bajo determinados supuestos.

7. Derecho de portabilidad: el titular podrá solicitar y recibir del responsable una copia de los datos que le conciernen, bajo determinados supuestos.

Deberes de los responsables del tratamiento de datos

El responsable, además de las obligaciones correlativas que se derivan del ejercicio de los distintos derechos del titular, estará sujeto a las siguientes obligaciones, entre otras:

• Deber de secreto o confidencialidad: el responsable deberá mantener el secreto o confidencialidad acerca de los datos personales del titular, salvo cuando éste los hubiere hecho públicos, lo que subsistirá aún después de concluida la relación entre ambos.

• Deber de información y transparencia: el responsable deberá facilitar y mantener permanentemente a disposición del público la información relativa a sus políticas de privacidad y a los tratamientos llevados a cabo.

• Deber de protección desde el diseño y por defecto: el responsable deberá aplicar medidas técnicas y organizativas adecuadas desde el diseño, con anterioridad y durante el tratamiento de los datos personales. Asimismo, que garanticen, por defecto, que sólo sean objeto de tratamiento los datos personales específicos y estrictamente necesarios para dicha actividad.

• Deber de adoptar medidas de seguridad: el responsable deberá adoptar las medidas necesarias para resguardar el cumplimiento del principio de seguridad, y así garantizar la confidencialidad, integridad, disponibilidad y resiliencia de los sistemas de tratamiento de datos.

• Deber de reportar vulneraciones a las medidas de seguridad: el responsable está obligado a reportar a la Agencia las vulneraciones a las medidas de seguridad que ocasionen la destrucción, filtración, pérdida o alteración accidental o ilícita de los datos, o la comunicación o acceso no autorizados a los mismos.

• Deber de realizar una Evaluación de Impacto en Protección de Datos Personales (EIPDP): La Ley establece la obligación de realizar una EIPDP bajo determinados supuestos. La EIPDP consiste en un análisis de riesgo que evalúa posibles lesiones a los derechos de los titulares de datos, y se cierra con la emisión de un informe que permite identificar los riesgos y determinar qué medidas es necesario adoptar, ya sea para eliminar dichos riesgos o minimizarlos.

• Regular el procesamiento de datos con el mandatario o encargado: cuando el responsable realice el tratamiento de datos a través de un tercero mandatario o encargado, dicho tratamiento se regirá por el contrato celebrado entre el responsable y el encargado, contrato que deberá regular algunos términos indicados en la Ley.

Transferencias internacionales de datos personales

La Ley establece determinadas situaciones en que las operaciones de transferencia internacional de datos están permitidas, dentro de las cuales están las siguientes:

• Cuando la transferencia se realice a una persona, entidad u organización pública o privada, sujeta al ordenamiento jurídico de un país que proporcione niveles adecuados de protección de datos personales (la Agencia será quien determine cuáles países proporcionan niveles adecuados de protección).

• Cuando la transferencia de datos quede amparada por cláusulas contractuales u otros instrumentos jurídicos suscritos entre el responsable que efectúa la transferencia y el responsable o tercero mandatario que la reciba, estableciendo garantías adecuadas para la protección de los datos personales transferidos.

• Cuando las dos partes involucradas en la transferencia adopten un modelo de cumplimiento o mecanismo de certificación, donde se establezcan garantías adecuadas para la protección de los datos personales transferidos.

• Cuando existe consentimiento expreso del titular de los datos para realizar una transferencia internacional de datos específica y determinada.

• Cuando se refiera a transferencias bancarias, financieras o bursátiles específicas.

• Cuando la transferencia sea necesaria para la celebración o ejecución de un contrato entre el titular y el responsable, o para la ejecución de medidas pre-contractuales adoptadas a solicitud del titular.

Agencia de Protección de Datos Personales

La Ley contempla la creación de la Agencia de Protección de Datos Personales (la Agencia), que velará por la efectiva protección de los derechos que aseguran la privacidad y los datos personales de las personas, y fiscalizará la observancia de la Ley.

En particular, la Agencia tendrá facultades:

1. Normativas, tales como la de dictar instrucciones y normas generales, aplicar e interpretar normas legales y reglamentarias, proponer normas para asegurar la protección de los datos personales.

2. Fiscalizadoras, en cuanto al cumplimiento de las disposiciones de la Ley por parte de los responsables, y al resolver las solicitudes y reclamos formulados por los titulares

3. Sancionadoras, al ejercer la potestad sancionadora y determinar las infracciones e incumplimientos en que incurran los responsables del tratamiento.

DPO y Modelo de Prevención de Infracciones

La Ley introduce el concepto de Modelo de Prevención de Infracciones consistente en programas de cumplimiento que los responsables pueden voluntariamente adoptar como un mecanismo de prevención de infracciones a la Ley.

La Ley establece los requisitos mínimos de un Modelo de Prevención de Infracciones y regula su proceso de certificación e inscripción en un Registro Nacional de Sanciones y Cumplimientos, administrado por la Agencia. Cabe señalar que el cumplimiento por parte del responsable de los deberes de dirección y supervisión del Modelo de Prevención de Infracciones certificado por la Agencia pueden constituir una circunstancia atenuante.

A diferencia de regulaciones de otras jurisdicciones, bajo la Ley no existirá obligación para el responsable de contar con un Delegado de Protección de Datos Personales (también conocido como Data Protection Officer, o DPO), la figura al interior de la estructura operacional de una entidad que cumple con la función de informar y asesorar a ésta respecto del cumplimiento de la normativa de protección de datos personales. Sin embargo, será imperativo contar con un DPO si se decide adoptar un Modelo de Prevención de Infracciones.

Infracciones y sanciones asociadas

La Ley prevé diversas sanciones aplicables a causa de la infracción de las obligaciones establecidas, las que se clasifican en tres categorías: leves, graves y gravísimas.

A modo meramente ejemplar, la Ley considerará como infracción leve el incumplimiento total o parcial del deber de información y transparencia; como infracción grave el tratamiento de datos personales sin base de licitud o con una finalidad distinta para la cual se recolectaron; y como infracción gravísima el tratamiento de datos personales de forma fraudulenta.

En cuanto a las sanciones aplicables, la Ley contempla la imposición de multas a beneficio fiscal, dependiendo del tipo de infracción en que incurra el responsable:

• Infracciones leves: Multa de hasta 5.000 UTM;

• Infracciones graves: Multa hasta 10.000 UTM;

• Infracciones gravísimas: Multa hasta 20.000 UTM.

Entrada en vigencia

La Ley entrará en vigencia después de veinticuatro meses contados desde su publicación en el Diario Oficial.

• 13 diciembre 2024: se publica la ley

• 13 junio 2025: plazo para promulgación de reglamentos

  • Se debe crear la agencia de protección de datos

• 1 diciembre 2026: entra en vigencia la ley

Uff harta lectura, te doy las gracias al haber llegado hasta acá

En siguientes artículos iré profundizando en cada tema y bajarlo a la implicación y desafío técnico que conlleva la implementación en las organizaciones privadas ó públicas

Un abracito

Referencias

• Ley 19.628: Biblioteca del Congreso Nacional

• Ley 21.719: Biblioteca del Congreso Nacional

• Consentimiento: Regulación del consentimiento en la Nueva Ley de Datos Personales

• Derechos de titulares: Derechos ARCO: Nueva regulación bajo la Nueva Ley de Datos Personales