|

Añada un marcador para empezar

Close up of servers
14 de diciembre de 20244 minutos de lectura

Chile establece una nueva Ley de Protección de Datos que eleva los estándares de privacidad

Luego de más de siete años de tramitación, hoy se publicó en el Diario Oficial la “Ley de Protección de Datos”, que entrará en vigor dos años después de su publicación. Este cambio legal busca fortalecer la protección de datos personales en el país y, con ello, ajustarnos a los estándares internacionales en materia de privacidad, según el Reglamento Europeo de Protección de Datos Personales (GDPR). En los primeros seis meses posteriores a esa fecha deberán dictarse los reglamentos correspondientes.

La “Ley de Protección de Datos” introduce cambios significativos en la materia en Chile, los cuales impactarán en la forma en que las empresas manejan y almacenan los datos de sus usuarios. Por lo tanto, es importante que las organizaciones analicen y ajusten sus prácticas para cumplir con estas nuevas regulaciones, evitando así posibles sanciones por incumplimiento.

Entre los principales aspectos de la nueva normativa, destacan los siguientes:

Nuevas obligaciones y principios

Se incorporan nuevos principios de tratamiento: licitud y lealtad, finalidad, proporcionalidad, calidad, responsabilidad, transparencia e información y confidencialidad.

El responsable de datos, que puede ser una persona natural o jurídica, y es quien decide sobre los fines y medios del tratamiento de datos personales, deberá:

  • Informar y poner a disposición de los titulares los antecedentes que acrediten la licitud del tratamiento de sus datos.

  • Mantener el secreto o la confidencialidad acerca de los datos personales que conciernan a un titular.

  • Aplicar medidas técnicas y organizativas adecuadas para el tratamiento de datos personales de los titulares, aplicadas desde el diseño de los proyectos y que deberán persistir durante dicho tratamiento.

Nuevas figuras

  • Agencia de Protección de Datos: Su función será velar por la efectiva protección de los derechos que garantizan la vida privada de las personas y sus datos personales, así como fiscalizar su cumplimiento.

    En este sentido, deberá certificar, registrar y supervisar los modelos de prevención de infracciones y los programas de cumplimiento, además de administrar el Registro Nacional de Sanciones y Cumplimiento. También desempeñará un papel educativo, desarrollando programas, proyectos y acciones de difusión e información para la ciudadanía, y brindando asistencia técnica a diversos órganos.

  • Delegado de protección de datos (DPO): Su figura será fundamental en el modelo de cumplimiento de las materias relacionadas con la Ley. Entre sus obligaciones estará cooperar y actuar como punto de contacto con la nueva Agencia y asistir a los miembros de la empresa en la identificación de los riesgos asociados a las actividades de tratamiento, así como determinar las medidas a adoptar para resguardar los derechos de los titulares de datos personales.

    El DPO deberá contar con autonomía respecto de la administración de estos temas. En el caso de las micro, pequeñas y medianas empresas, el dueño o sus máximas autoridades podrán asumir personalmente estas tareas.

Modelo de prevención de infracciones

Se crea un sistema que previene e incentiva el cumplimiento voluntario de la Ley, el cual deberá ser certificado y acreditado ante la Agencia.

Infracciones y multas

Se establece un catálogo de infracciones y sanciones, atenuantes y agravantes, un procedimiento infraccional y otro de reclamación judicial. La Ley distingue entre infracciones leves, graves y gravísimas, con multas que pueden llegar a 20.000 UTM (aproximadamente USD 1,4 millones).

Tratamiento de datos sensibles

El tratamiento de datos sensibles solo podrá realizarse cuando el titular manifieste su consentimiento expreso, otorgado a través de una declaración escrita, verbal o por un medio tecnológico equivalente. No obstante, la Ley establece excepciones a esta regla como, por ejemplo, el tratamiento de datos personales sensibles que el titular ha hecho público y que su tratamiento esté relacionado con los fines para los que se publicaron o que el tratamiento se base en un interés legítimo realizado por una persona jurídica de derecho público o privado que no persiga fines de lucro, siempre quese cumplan ciertas condiciones.

Transferencias internacionales de Datos

Se regulan las transferencias internacionales de datos personales, determinándose los casos en los que serán legales, como la transferencia a organizaciones, entidades o individuos que proporcionen niveles adecuados de protección de datos personales o amparadas por cláusulas contractuales tipo.

Read this article in English.