En la nueva Ley de Protección de datos Personales 21.719, que representa toda una reforma sobre la actual Ley 19.628 y de la que hemos conversado antes en este blog, uno de los temas relevantes que es de mucho interés es lo referido a las sanciones y multas que afectarán directamente a las empresas.

En el artículo de hoy revisaremos en detalle cómo serán las multas indicadas en la Nueva Ley de Protección de Datos 21.719 – Chile.

gabrielcastillo.work-dinero-multas-gasto
Imagen de Olya Adamovich en Pixabay

¿Cómo se determinarán los montos de las multas de la Ley de Protección de Datos Personales Chile?

Es importante señalar que será la Agencia de Protección de Datos la encargada de determinar y detallar la resolución de multas, en base a la revisión de los antecedentes de cada situación.

A continuación detallamos los criterios que se indican en la Ley 21.719 respecto a la determinación de las multas.

Criterios de aplicación:

  • La gravedad de la conducta.
  • La determinación de una conducta negligente
  • El daño causado, sobre todo tomando en consideración el número de titulares de datos que se pudieron ver afectados.
  • Si existió un beneficio económico del responsable o encargado obtenido producto de la infracción cometida.
  • Si en los datos referidos a la infracción están involucrados datos sensibles o datos personales de niños, niñas y adolescentes.
  • La capacidad económica de quien cometió la infracción.
  • Si existen antecedentes de infracciones previas.
  • Las circunstancias atenuantes o agravantes que pudiesen existir.

Aplicación de varias multas en una misma sanción.

Un tema importante indicado en la ley es respecto a la aplicación de más de una sanción producto de la infracción cometida, la que seguirá la siguiente regla:

  • Si la acción que está cometiendo la falta, da origen a dos o más infracciones, o cuando la falta es un medio para cometer otra, en ese caso se impondrá solo 1 multa, correspondiente a la más grave.
  • Si se verifican más de una falta y que son independientes entre sí, entonces las multas se acumularán.

Expliquémoslo con un ejemplo:

  • Imaginemos el caso de que una Clínica Dental en su Instagram tiene imágenes de sus pacientes mostrando los resultados de sus tratamientos. Un antiguo cliente solicita entonces a la Clínica que elimine las fotos en las que el aparece, porque no quiere seguir apareciendo como un cliente de esa clínica, y por tanto desiste del consentimiento original del uso de su imagen. Además en su solicitud de supresión indica que se adhiere al derecho de bloqueo, indicando unos motivos solidos para ello.
  • Supongamos ahora que la Clínica recibe la solicitud, y en el plazo estipulado no baja temporalmente las imágenes (que sería el resultado de permitir el bloqueo temporal de datos mientras se resuelve la solicitud de eliminación).
  • Adicionalmente transcurrido el plazo tampoco responde a la persona respecto a la solicitud de supresión.

En este caso tenemos a lo menos 2 posibles faltas derivadas de la misma acción. Una asociada al hecho de no ejecutar el bloqueo temporal, y el responsable tenía un plazo de 2 días para responder, y la otra relacionada con el hecho preciso de no responder a la solicitud de eliminación.

En el caso anterior tenemos 2 posibles faltas, pero ambas son de la misma acción, por lo tanto eventualmente la Agencia podría en su resolución indicar la aplicación de 1 sola sanción asociada a la más gravé que determine.

Desclaimer: El presente ejemplo y sus eventuales sanciones indicadas han sido definidas a modo de ejemplo y con el fin de explicar de una manera didáctica el concepto referido a las sanciones, y no pretende ni representa una interpretación propia de la ley.

Tipos de infracciones y montos de multas por infracciones a la Ley de Protección de Datos Personales 21719

Revisemos ahora la definición de los tipos de infracciones definidas en la normativa de protección de datos.

Infracciones Leves

Las infracciones leves pueden acarrear desde una amonestación escrita a multas de hasta 5.000 unidades tributarias mensuales.

Te comento algunas de las acciones que pueden ser indicadas como una infracción leve.

  • Incumplir de manera total o parcial el principio de transparencia.
  • No indicar un método de contacto para los titulares de los datos para ejercer sus derechos.
  • No dar respuesta a las solicitudes, responder fuera de plazo o de manera incompleta.
  • No informar a la Agencia cualquiera de las comunicaciones previstas en la normativa.
  • Incumplir las instrucciones de la Agencia.
  • Cometer cualquier otra falta no establecida como grave o gravísima.

Infracciones Graves

Las infracciones graves pueden acarrear multas de hasta 10.000 unidades tributarias mensuales.

Revisemos ahora algunas de las acciones son definidas como infracciones graves dentro de la ley de protección de datos 21719:

  • Tratar datos personales sin el consentimiento del titular, o sin un fundamento legal que otorgue licitud al tratamiento.
  • Tratar los datos personales para una finalidad distinta de aquella para la cual fueron recolectados inicialmente.
  • Comunicar o ceder datos sin el consentimiento del titular.
  • Incumplimiento del principio de minimización.
  • Tratar datos personales inexactos, incompletos o desactualizados en relación con el objetivo del tratamiento.
  • Impedir u obstaculizar el ejercicio de derechos.
  • Omitir la respuesta, responder tardíamente o denegar la petición injustificadamente en los casos de solicitudes de bloqueo fundadas.
  • Realizar tratamiento de datos personales de niños y niñas incumpliendo las normas indicadas en la ley.
  • Vulneraciones a la confidencialidad.
  • Omitir las comunicaciones indicadas producto de vulneraciones de datos.
  • Realizar transferencias internacionales de datos contradiciendo las normas indicadas en la ley.

Infracciones Gravísimas.

Las infracciones gravísimas pueden acarrear multas de hasta 20.000 unidades tributarias mensuales.

Finalmente tenemos las infracciones que revisten un acto de incumplimiento mayor, determinadas como gravísimas. Veamos algunas de estas acciones:

  • Efectuar tratamiento de datos personales de forma fraudulenta.
  • Destinar maliciosamente los datos personales a una finalidad distinta a la consentida.
  • Comunicar o ceder, a sabiendas, información no veraz o incompleta, inexacta o desactualizada.
  • Vulneraciones a la confidencialidad de datos sensibles.
  • Realizar, a sabiendas, operaciones de transferencia internacional de datos en contravención a las normas previstas en la ley.
  • Incumplir una sanción de la Agencia.

En otro artículo profundizaremos respecto a las atenuantes y agravantes, que están muy relacionadas con el proceso sancionatorio.

📌 “Si te interesa revisar la ley completa, puedes encontrarla en el sitio oficial del Diario Oficial o en la Biblioteca del Congreso Nacional.” 👉 Ley 21719, 👉 Ley 19.628 futura.

Tags:

Noticias Relacionadas

gabrielcastillo.work-condor-andino

Ley 19.628 y el marco normativo de datos personales en Chile.

2025-02-26
gabrielcastillo.work-privacy-apple-united-kingdom-cifrado

Cómo el Reino Unido ha puesto en riesgo la privacidad de sus ciudadanos.

2025-02-25