Chile: Aprobada la Ley de Protección de Datos Personales

Luego de 7 años de tramitación, el Congreso Nacional de Chile ha aprobado la nueva Ley de Protección de Datos Personales, que regula la forma y condiciones en las que se realiza el tratamiento de datos personales y mejora la protección de los derechos de sus titulares.

La norma actualiza la legislación vigente, elevando el estándar de protección y basando parte importante de sus normas en lo dispuesto en el Reglamento General de Protección de Datos de la Unión Europea.

• Principales novedades

La Ley crea la Agencia de Protección de Datos Personales, encargada de supervisar el cumplimiento de la nueva normativa. Además, establece el Registro Nacional de Sanciones y Cumplimiento, de carácter público, que consignará las sanciones impuestas a responsables de datos.

La Ley define al responsable de datos personales como aquel que decide respecto de los fines y medios del tratamiento de datos personales. También se refiere al tercero mandatario o encargado, que es la persona natural o jurídica que efectúa el tratamiento de datos por cuenta del responsable.

Se amplían los derechos de los titulares de datos, incluyendo el derecho a la portabilidad de los datos personales. Este derecho permite al titular solicitar y obtener una copia de sus datos personales en un formato que pueda ser operado por distintos sistemas, así como comunicarlos o transferirlos a otro responsable.

• Ámbito de aplicación territorial

La ley se aplica en los siguientes casos:

1. Cuando el responsable o encargado esté en Chile.
2. Cuando el encargado realice operaciones de tratamiento a nombre de un responsable establecido en Chile.
3. Cuando, aunque el responsable o encargado no estén establecidos en Chile, sus operaciones de tratamiento de datos personales estén destinadas a ofrecer bienes o servicios a titulares en Chile. Los responsables no constituidos en Chile deben indicar un correo electrónico para recibir comunicaciones de los titulares de datos y de la Agencia.

• Bases de legitimación del tratamiento de datos

La ley establece como regla general que el tratamiento de datos debe basarse en el consentimiento del titular. Sin embargo, también reconoce otras bases de legitimación, como el cumplimiento de obligaciones legales, la ejecución de contratos y el interés legítimo del responsable, siempre que no se afecten los derechos fundamentales del titular.

• Principios que rigen el tratamiento

La nueva ley establece varios principios que deben cumplirse al tratar datos personales:

1. Principio de licitud y lealtad: el responsable debe demostrar la licitud del tratamiento.
2. Principio de finalidad: el tratamiento debe realizarse con el fin para el que fueron recolectados los datos.
3. Principio de proporcionalidad: los datos tratados deben ser necesarios para los fines del tratamiento y conservarse solo el tiempo necesario.
4. Principio de calidad: los datos personales deben ser exactos, completos y actuales.
5. Principio de responsabilidad: los responsables del tratamiento deben cumplir con los principios y obligaciones legales.
6. Principio de seguridad: el responsable debe garantizar estándares adecuados de seguridad.
7. Principio de transparencia e información: el responsable debe informar sobre las políticas y prácticas sobre el tratamiento de datos personales.
8. Principio de confidencialidad: el responsable y quienes tengan acceso a los datos deben mantener su secreto y adoptar las medidas necesarias para ello.

• Evaluación de impacto

En caso de que un tratamiento pueda producir un alto riesgo para los derechos de los titulares de datos, la ley obliga al responsable a realizar, previo a tal tratamiento, una evaluación de impacto en protección de datos. Esto resulta especialmente relevante para los casos de tratamiento masivo de datos, donde la cantidad o el tipo de datos que tratan podrían aumentar de manera significativa el riesgo para los derechos de las personas. Si de esta evaluación resultara que el tratamiento puede ser de alto riesgo, el responsable podrá consultar a la Agencia de Protección de Datos antes de proceder quien emitirá recomendaciones.

• Transferencia internacional de datos personales

La ley regula la transferencia internacional de datos personales, permitiéndola en los siguientes casos:

1. Transferencia a persona o entidad en país adecuado (definido por la Agencia).
2. Transferencia amparada por un contrato que establezca garantías adecuadas.
3. Adopción de un modelo de cumplimiento entre los responsables.

• Sanciones

La ley introduce nuevas sanciones, incluyendo multas y la inclusión en el Registro Nacional de Sanciones y Cumplimiento, lo que puede afectar a la reputación de una empresa.

a) Multas: varían según la gravedad de la infracción y el tamaño de la entidad responsable.

1. Infracciones leves: amonestación escrita o multa de hasta 5.000 unidades tributarias mensuales (aproximadamente USD 387.000). Ejemplo: incumplimiento del deber de información y transparencia, como no indicar correo electrónico para comunicarse con el responsable de datos.
2. Infracciones graves: multa de hasta 10.000 unidades tributarias mensuales (aproximadamente USD 775.000). Ejemplo: tratar datos sin una base de legitimación que lo permita como vulnerar el deber de confidencialidad.
3. Infracciones gravísimas: serán sancionadas con multa de hasta 20.000 unidades tributarias mensuales (aproximadamente USD 1.550.000). Ejemplo: tratar datos de manera fraudulenta, como destinar maliciosamente los datos personales a una finalidad distinta de la consentida por el titular.

En caso de reincidencia, la Agencia puede aplicar una multa de hasta 3 veces el monto indicado.

Para empresas no consideradas de menor tamaño que reincidan en infracciones graves o gravísimas, la multa puede ser de hasta el 2% o 4% de los ingresos anuales por ventas y servicios del último año calendario.

b) Sanciones accesorias: En caso de infracciones gravísimas reiteradas en un período de veinticuatro meses, la Agencia puede suspender las operaciones de tratamiento de datos del responsable por hasta treinta días.

c) Registro Nacional de Sanciones y Cumplimiento: Llevará el registro público de las sanciones impuestas a los responsables de datos y será administrado por la Agencia de Protección de Datos.