Ley de Protección de Datos Personales en Chile

Introducción

La Constitución Política de nuestro país consagra que se debe asegurar a todas las personas “El respeto y protección a la vida privada y a la honra de la persona y su familia, y asimismo, la protección de sus datos personales” (artículo 19 N°4 de la Constitución). No obstante, la única ley que rige actualmente la protección de los datos personales a modo general, y que desarrolla este derecho constitucional con mayor precisión, es la Ley N° 19.628 sobre protección de la vida privada ( “ LPVP ” ) – ley que fue publicada en el año 1999, con una realidad muy distinta a la actual.

Actualización de la normativa de protección de datos

Dado que la LPVP fue fruto directo de una moción parlamentaria presentada hace ya 31 años (1993), la necesidad de una protección más específica y efectiva de los datos personales respecto de los usos y amenazas que han ido surgiendo se ha ido acrecentando con el tiempo, lo que se ha visto intensificado con la masificación del CRM, ERP, e-commerce, IA, la explosión de las redes sociales, así como el aumento de amenazas de ciberseguridad.

Cámara de Diputados despacha a ley proyecto que regula tratamiento de datos personales

El pasado 26 de Agosto del 2024, la Sala de la Cámara de Diputados aprobó el informe de la comisión mixta conformada en el marco de la tramitación del proyecto que establece un nuevo marco regulatorio para el tratamiento de datos personales y lo despachó al Ejecutivo para su promulgación como ley de la República.

MW te ayuda a entender 9 interrogantes sobre la nueva ley de protección de datos en Chile

1. ¿Hay sanción para las empresas responsables del uso indebido de los datos previo a la entrada en vigor de la ley?

Las sanciones no serán aplicadas inmediatamente. De acuerdo con la norma, la misma entrará en vigor el primer día del décimo tercer mes posterior a su publicación. En ese sentido, las bases de datos preexistentes cuentan con un plazo de dieciocho meses para adecuarse a los términos previstos en ella, contado desde su entrada en vigor. Teniendo en cuenta esto, se podría decir que, desde la publicación de la norma, las empresas tendrán un plazo de dos años y seis meses para adaptarse. Sin embargo, los derechos reconocidos por esta para los titulares de datos podrán ser ejercidos de acuerdo con sus términos desde la entrada en vigor.

Para esto, la ley establece un catálogo de conductas e infracciones: leves, graves y gravísimas, las que se sancionarán con multas de hasta 5.000 UTM, 10.000 UTM y 20.000 UTM, respectivamente. 

2. ¿A quiénes impacta la ley? ¿A ciudadanos y empresas de todo el mundo o solo de Chile?

Afectará a empresas de todos los tamaños, organismos públicos y a la información referida a ciudadanos chilenos, por tanto, repercutirá en empresas extranjeras que traten datos de ciudadanos o personas que habiten en el país.

3. ¿Un sitio web fuera del territorio chileno al que acceden personas desde el extranjero se ve afectado por la ley?

Si el sitio web recoge datos personales de personas situadas en Chile y lo hace con el fin de suministrar bienes o servicios, deberá cumplir con la ley.

4. Si una persona fuera de Chile interactúa con un sitio web de una empresa o servicio que se ofrece en el país, ¿la ley tiene un impacto en estas personas?

En este caso, a pesar de que los datos provengan de personas que no se encuentren en el país, la forma del tratamiento estaría influida por la norma chilena. Sin embargo, esto colocaría a la ley chilena en una posición enfrentada a la ley del país en donde se encuentre el individuo y eso sería una cuestión para resolver por el organismo tratante de los datos para determinar cuál legislación es aplicable.

5. ¿Las empresas lograrán estar preparadas en el período establecido?

Considerando el largo proceso de discusión, que la mayoría de las disposiciones que se sancionan ya son conocidas públicamente y que el plazo otorgado para acomodarse a la misma es bastante amplio, hay un plazo importante para adecuarse en tiempo y forma. Por esa razón, las organizaciones podrían empezar desde ahora a evaluar sus sistemas de gestión de la información para trabajar en políticas correctivas de ser necesario.

6. ¿Cuáles son los principales desafíos para las pequeñas y medianas empresas?

La necesidad de cumplir con la normativa es independiente al tamaño de la organización. Quizás la diferencia entre unas y otras sea la del presupuesto establecido para la seguridad de la información. Usualmente, empresas grandes ya cuentan con áreas específicas que aborden las temáticas, en cambio, aquellas más pequeñas quizás aún no lo han contemplado. El desafío para ambas resulta en contar con presupuesto y especialistas dedicados.

7. ¿Cuál es la autoridad competente para la aplicación de la ley?

La autoridad competente para aplicación y control de cumplimiento de las normas referidas a protección de datos será la Agencia de Protección de Datos Personales, organismo que se encargará de velar por la efectiva protección de los derechos que garantizan la vida privada de las personas y de sus datos personales. Tendrá potestad para imponer sanciones, multas y de dictar reglamentos para garantizar el cumplimiento de la ley.

8. ¿Cuáles son los derechos de los titulares de los datos personales?

Los derechos de los titulares de los datos personales establecidos detalladamente por la ley son: 

  • Acceso
  • Rectificación
  • Supresión
  • Oposición
  • Portabilidad
  • Bloqueo

9. ¿Cuáles son los principales puntos que las empresas deberían atender en la implementación de procesos para cumplir con la nueva ley?

En primer lugar, si una empresa no está segura deberá buscar asesoramiento tanto jurídico como de especialistas técnicos. Asimismo, para asegurarse deben considerar, al menos, los siguientes pasos:

  • Entender las políticas y procedimientos actuales para la recolección, almacenamiento y venta/compartición de datos personales.
  • Hacer una evaluación del estado actual de la empresa y definir los puntos de mejora para acomodarse a la ley.
  • Desarrollar una estrategia de pasos a seguir para alcanzar el cumplimiento basada en el análisis de las deficiencias.
  • Desarrollar actualizaciones y mecanismos para el cumplimiento de la normativa, como políticas de privacidad, aceptación y exclusión voluntaria, actualizaciones de la web, etc.

Conclusión

En resumen, en el mundo globalizado en que vivimos, que sigue avanzando a pasos agigantados en materias de e-commerce, tecnología, IA, automatización, y por ende en el tratamiento de datos, la protección de los datos personales se vuelve crucial, no solo para evitar potenciales filtraciones de datos, o ciberataques, sino que además para prevenir el mal uso de dichos datos para fines contrarios a los deseados por sus titulares.

En este sentido, se torna urgente contar con una regulación e institucionalidad robusta en materia de tratamiento de los datos personales, y al mismo tiempo de una agencia gubernamental independiente, que supervise y sancione el cumplimiento de dicha legislación, generando de es te modo una “cultura de protección de datos personales”, que, si bien actualmente es casi inexistente en nuestro país, mediante este y otros esfuerzos normativos estimamos se podría comenzar a gestar finalmente.

mccann-logo-gris
mrm-logo-gri
momentum-logo-gris
craft-logo-gris