La ley que actualmente rige en Chile en materia de datos personales (Ley 19.628 sobre “Protección de la Vida Privada”) data de 1999. Han pasado 24 años desde su entrada en vigencia y existe consenso en que dicha regulación dista de entregar las herramientas necesarias para enfrentar tanto los desafíos actuales como futuros, que acarrean nuestras sociedades hípertecnologizadas y cada vez más dependientes de esas tecnologías y del tratamiento de datos personales.
En efecto, el ingreso de Chile a la OCDE el año 2010 supuso el compromiso del país de adecuar diversos marcos legales, entre ellos la Ley 19.628.
Frente a esta situación, en 2017 se presentó un proyecto de ley para regular la protección y el tratamiento de datos personales. La iniciativa propuso establecer las condiciones necesarias para reforzar los derechos de los titulares y transformar a Chile en un país con niveles adecuados de protección y seguridad en materia de datos personales, así como promover el desarrollo de la economía digital y adecuar la regulación existente a los estándares internacionales.
Tras una larga discusión parlamentaria, habiendo pasado por tres administraciones de gobierno distintas, el proyecto inició la que debería ser su última etapa de tramitación que, de aprobarse, traerá aparejadas importantes cargas para los responsables de datos, impactando transversalmente a las distintas industrias.
Podría interesarte: Los límites que ChatGTP tiene frente a la protección de datos y la propiedad intelectual de las personas
En términos generales, la propuesta legislativa establece nuevas fuentes de licitud para el tratamiento de datos personales (como el interés legítimo y la ejecución de un contrato), regulando en detalle los requisitos del consentimiento, definiendo este último como una manifestación de voluntad previa, libre, específica, inequívoca e informada.
También regula, de manera expresa, los principios del tratamiento de datos (como el de licitud, finalidad y proporcionalidad, entre otros), los derechos de los titulares, las operaciones de transferencias internacionales de datos y el tratamiento de datos personales sensibles y otras categorías especiales de datos.
Además, el proyecto incluye importantes cargas para los responsables de datos e introduce novedades, entre las que podemos mencionar las siguientes:
- Autoridad de control
Dentro de las transformaciones más importantes está la creación de la Agencia de Protección de Datos Personales, un órgano administrativo de carácter técnico que se encargará de dictar instrucciones generales relativas a las operaciones de tratamiento de datos, fiscalizar el cumplimiento de la ley y sancionar en los casos correspondientes. Además, dicha entidad será la encargada de certificar, registrar y supervisar los modelos de prevención y administrar el Registro Nacional de Sanciones y Cumplimiento.
- Medidas de seguridad y reporte de vulneraciones
En lo que refiere a seguridad de los datos, la iniciativa obliga a aplicar a los responsables y encargados del tratamiento medidas de seguridad para asegurar, por una parte, la confidencialidad, integridad, disponibilidad y resiliencia de los sistemas de tratamiento de datos, así como evitar la alteración, destrucción, pérdida y tratamiento o acceso no autorizado.
Además, el proyecto establece el deber de reportar a la agencia las vulneraciones a las medidas de seguridad y, en el caso de que se vean involucrados datos sensibles de niños, niñas y adolescentes menores de 14 años o datos de carácter económico, financiero, bancario o comercial, se deberá comunicar también a los titulares.
Más sobre Chile: Ley 21.320: Los desafíos de la cobranza extrajudicial en Chile
- Obligación de generar documentación
La iniciativa contiene diversas disposiciones que obligan a los responsables a generar cierta documentación en torno a las actividades de tratamiento de datos. Entre ellas el deber de información y transparencia, que obliga al responsable a mantener a disposición del público (sitio web u otros medios equivalentes) una política de privacidad; el deber de llevar un registro de las comunicaciones a la Agencia en relación con el reporte de vulneraciones de las medidas de seguridad, y la obligación de realizar evaluaciones de impacto en protección de datos frente casos de tratamiento masivo de datos y monitoreo sistemático en zonas de acceso público, entre otros.
- Prevención de infracciones y compliance en protección de datos
En materia de compliance, el proyecto de ley contempla la posibilidad de adoptar voluntariamente programas de cumplimiento, que podrán ser certificados por la agencia y constituir circunstancias atenuantes de responsabilidad. Además, crea la figura de los delegados de protección de datos, quienes supervisarán el cumplimiento de la ley y de las políticas que dicte el responsable dentro de la organización, entre otras funciones.
Estas personas son designadas por la máxima autoridad directiva o administrativa y cuentan con autonomía para llevar a cabo su labor.
Los programas certificados se registrarán en un registro nacional de carácter público, en el que se consignan los modelos certificados y los responsables de datos que los hayan adoptado, así como aquellos que hayan sido revocados.
- Infracciones y sanciones asociadas
Por último, se establecen categorías de infracciones (leves, graves y gravísimas), así como las sanciones asociadas. Estas últimas pueden llegar hasta las 20.000 UTM (equivalentes a 1.500 millones de dólares, aproximadamente) y, en casos extremos, llevan a la suspensión de las operaciones de tratamiento, por hasta 30 días.
Este proyecto de ley debería suplir las falencias y llenar los vacíos que nuestra actual normativa no alcanza a cubrir. Si bien el ecosistema normativo ha avanzado (Ley Fintec, Ley de Delitos Informáticos, Proyecto de Ley Marco sobre Ciberseguridad e Infraestructura Crítica), nuestro país mantiene una deuda con la discusión de un cuerpo legal moderno y adecuado para enfrentar los desafíos venideros en un aspecto tan básico como la protección de los datos personales.
*José Ignacio Mercado e Iván Meleda son director y asociado de Carey, respectivamente.
Add new comment