Protección de datos Chile – Situación Actual
En Chile, la actual ley 19628, referida a la protección de la vida privada, define la regulación respecto de la protección de datos personales. Sin embargo, a pesar de que esta ha sufrido varias modificaciones desde su publicación en 1.999, no entrega un estándar alto de protección comparado con regulaciones modernas como el Reglamento General de Protección de Datos de la Unión Europea (RGPD).
Es por ello por lo que la aprobación de esta nueva y amplia modificación a la ley, que llevaba mucho tiempo en tramitación, marca un hito tan relevante en Chile.
También puedes disfrutar de este artículo en 🎙️PrivaData Podcast – S01-01
Ley 19628 actual – sobre protección de la vida privada.
La Ley 19628, conocida como la Ley sobre Protección de la Vida Privada, es la ley actual de protección de datos en Chile. Publicada en 1999, se consideró pionera en su tiempo en comparación con las leyes del resto de los países de la región
Revisemos la lista de algunos de los países de la región y los respectivos años de publicación de sus leyes relacionadas a la protección de datos.
A pesar de los cambios posteriores a la ley, la normativa requería una actualización que estuviera a la altura de los estándares internacionales. En este ámbito, el Reglamento General de Protección de Datos (RGPD) de la Unión Europea impone el estándar.
Seña de la necesidad de esta actualización es que por ejemplo la Ley 19628 no realiza indicaciones explícitas respecto a los datos biométricos o al tratamiento de datos extraterritorial, escenarios muy comunes hoy en día.
Nueva Ley 19628 de protección de datos Chile.
Hace muy poco el Senado ha enviado al Ejecutivo el texto definitivo y se está a la espera de la promulgación de la nueva ley, que en realidad no es una nueva ley en sí misma, sino que es una modificación a la ley actual, comenzando de hecho por el cambio de nombre de la misma, reemplazando el texto original de “la vida privada” por “los datos personales” (en este artículo se le llamará nueva ley).
Uno de los temas importantes de la nueva Ley es la creación de la Agencia de Protección de Datos Personales la que será una Institución autónoma que velará por el cumplimiento en materia de derecho de los datos personales.
Esta agencia estará facultada para dictar instrucciones y normas generales y obligatorias, pudiendo además actuar de oficio, es decir podrá iniciar procedimientos o investigaciones por iniciativa propia en las materias que son de su interés y alcance. Adicionalmente otro punto muy beneficioso para las personas es que ahora al existir esta agencia no será necesario que un particular requiera de un abogado para resolver diferencias, como si era necesario con la anterior norma legislativa.
Revisemos algunos temas destacados de esta norma:
Figuras relevantes:
Existen ciertas figuras de la ley que creo importante entender como contexto, te explico:
- Titular de los datos: Somos todas las personas naturales a quienes los datos personales nos identifican.
- Responsable de los datos: Pueden ser personas o empresas, y son las que realizan el tratamiento de los datos, es decir a quienes entregamos nuestros datos y tienen la responsabilidad de almacenar de manera segura.
- Encargado del tratamiento: Se refiere a un tercero que realiza el tratamiento de los datos por encargo de un responsable de los datos, este escenario se da por ejemplo cuando una empresa utiliza un sistema SaaS para su gestión de personas, esta última es quien finalmente realiza el tratamiento de los datos actuando como encargado del tratamiento.
- Agencia de protección de datos personales: Será la institución más relevante de esta ley, podrá actuar de oficio, y es a quien dictará normas y reglamentos, y podrá actuar para resolver diferencias.
A quienes afecta
La ley 19628 de protección de datos establece un ámbito de aplicación territorial, el que se rige por lo siguiente:
- Empresas y Personas en Chile: Todas las personas naturales o empresas que realicen tratamiento de datos personales, estando estas establecidas legalmente en Chile.
- Empresas o Personas no establecidas en Chile: Aquellas que realicen el tratamiento de datos personales por mandato de empresas o personas establecidas en Chile.
- Empresas o Personas no establecidas en Chile: que realicen tratamiento de datos personales dado que el objetivo de sus bienes o servicios es hacia personas que residen en Chile.
Respecto de los datos personales
- Se reconocen los datos personales y además, dentro de estos, los datos sensibles como aquellos que indican características físicas o morales, o hechos de la vida privada o intimidad que revelen origen étnico o racial, afiliación política, y otros.
- Se clasifican como datos sensibles a los datos biométricos tales como la huella digital, el iris, los rasgos de la mano o faciales y la voz.
- Se establece que el Responsable de los datos son personales naturales o empresas que establecen los fines y medios para el tratamiento de los datos, y que este podría encargar la tarea de tratamiento de los datos a un tercero, al que se identifica como Encargado del tratamiento.
Que derechos se establecen
La ley ley 19628 de protección de datos establece los derechos de acceso, rectificación, supresión, oposición, portabilidad y bloqueo, veamos en resumen cada uno de ellos:
- Acceso (conocer que y por que): Todo titular de los datos tiene el derecho a preguntar y solicitar a un responsable si están siendo tratados sus datos, y obtener además los datos que están siendo tratados.
- Rectificación (actualizar o corregir) : El titular de los datos puede solicitar al responsable que se actualice o corrija los datos personales que están tratando.
- Supresión (eliminación): El titular de los datos puede solicitar al representante la eliminación de sus datos de las bases de datos o registros que posee.
- Oposición (oponerse al tratamiento): El titular de los datos puede oponerse a que se realice el tratamiento de datos personales específicos.
- Portabilidad (mover sus datos personales a otro responsable): El titular puede solicitar a un responsable todos sus datos personales tratados en un formato electrónico estructurado, genérico y de uso común, para que sean entregados a otro responsable de los datos.
- Bloqueo (suspensión temporal): El titular puede solicitar la suspensión temporal del tratamiento de datos cuando esté en proceso de solicitud de una rectificación, supresión u oposición.
Impacto de la ley 19628 de protección de datos personales en las organizaciones.
Con todo lo indícado por esta nueva ley, el impacto en las compañías es enorme, y es posible observar claramente la necesidad de adopción de nuevos procesos, así como también la definición de un nuevo rol que será necesario crear en las compañías.
A continuación te señalo los puntos más relevantes a los que toda compañía debiera orientar su atención.
Designación del Delegado de Protección de Datos.
- Sin lugar a dudas uno de los puntos más relevantes es la figura del Delegado de protección de datos, esté es un nuevo rol, que si bien es cierto es opcional, pues podrán ejercerlo el mismo representante o dueño, en compañías medianas a grandes posiblemente emerga como un nuevo rol de alta importancia.
- Deberá ser asignado directamente por la más alta autoridad directiva o administrativa de la compañía, y deberá contar con autonomía para el desempeño de sus funciones.
- El delegado deberá ademas tener conocimientos específicos relativos a estas materias y deberán asignarle los medios y facultades necesarias para ejercer el cargo.
- El delegado opera también como un asesor hacia dentro de la compañía en cuanto los temas legales y reglamentarios.
- El delegado es el punto de entrada con quien los titulares de los datos se pueden contactar para ejercer sus derechos y es también el contacto directo con la Agencia.
Implementar los medios tecnológicos para que los titulares puedan ejercer sus derechos.
- Las compañías deberán proveer todo un mecanismo tecnológico y ágil que permita a los titulares por ejemplo generar procesos de solicitud de información, de rectificación y otras.
- Deberá además este proceso respetar los plazos estipulados (30 días corridos de respuesta desde la solicitud, y una opción de aplazamiento)
- Los derechos de rectificación, supresión y oposición siempre serán gratuitos. Y el de acceso debe ser gratuito al menos trimestralmente.
- Para empresas no constituidas en Chile el Responsable deberá señalar ante la Agencia un correo electrónico u otro medio de comunicación capaz de actuar en su nombre, para que un Titular pueda ejercer sus derechos.
Generar un modelo de prevención de infracción y obtener la certificación de la Agencia.
- Este modelo será certificado por la Agencia, pudiendo entonces quedar la empresa (responsable de los datos) consignada en el registro de modelos certificados, pudiendo convertir esto en una ventaja competitiva para las compañías.
- El modelo de certificación será expedido luego por el Ministerio de Hacienda.
- Una vez obtenida la certificación, esta estará vigente por tres años.
- En caso de vulneraciones deberá informar a la Agencia lo antes posible.
- En caso de vulneraciones a datos de menores o datos sensibles deberá además alertar a los titulares de los datos.
Definir la política de tratamiento, informar al titular y respaldar el otorgamiento del consentimiento.
- Es responsabilidad del responsable probar que contó con el consentimiento del titular.
- Deberá exponer de manera clara los antecedentes que acrediten el tratamiento de los datos.
- Debe mantener a disposición pública al menos la siguiente información:
- Política y medidas de seguridad adoptadas para proteger los datos.
- Los derechos de los titulares de los datos.
- Informar si existe transferencia de datos a un tercer país
Otros temas relevantes de la Ley 19628 de protección de datos personales.
Adicionalmente a lo mencionado anteriormente, existen una serie de temas relevantes respecto al proceso de la ley, acá te cuento de algunos de ellos.
- Durante el primer año de vigencia de esta ley, las sanciones contra empresas calificadas como de menor tamaño, la Agencia podrá aplicar como sanción una amonestación por escrito, sin que esto evite su consignación en el Registro de Sanciones.
- Las infracciones se clasificarán en leves, graves y gravísimas, con multas de 0 a 5.000 UTM, hasta 10.000 UTM y finalmente hasta de 20.000 UTM respectivamente.
- Las multas podrían ser aún mayores a las indicadas, incluso relacionadas a temas de ingresos.
- La Entrada en vigor de la ley será después de 2 años de publicada esta en el diario oficial.
- El responsable de los datos puede añadir cobros cuando el titular ejerza el derecho de portabilidad más de una vez en el trimestre.