Con fecha 13 de diciembre de 2024, fue publicada en el Diario Oficial la Ley N° 21.719, que Regula la protección y el tratamiento de los datos personales y crea la Agencia de Protección de Datos Personales.
Antecedentes
Se entiende por protección de datos personales el estatuto jurídico destinado a definir las condiciones sobre las cuales terceros podrán hacer uso de datos que conciernen a una persona. Ello principalmente porque un mal uso de dichos datos puede afectar su entorno personal, social o profesional desde las esferas públicas de su persona hasta los límites de su intimidad. De esta definición resulta necesario clarificar que la protección de datos no persigue abstraer del conocimiento público la información de una persona, sino dotarla de los medios necesarios para controlar quién, cómo, dónde y con qué motivo conoce cualquier información acerca de su persona, sea ésta calificable como íntima o no, pública o secreta (Claudio Ortiz).
En el ámbito nacional, el ingreso de Chile a OCDE en 2010 significó el compromiso de adecuaciones normativas y modificación de marcos legales, entre ellos el de protección de datos, los que no se han llevado a cabo desde el ingreso de nuestro país a dicha organización, hace ya seis años. La protección de datos resulta indispensable para el desarrollo de una estrategia y agenda digital y para atraer inversión extranjera; y en especial para concebir las múltiples innovaciones tecnológicas con acento en los derechos humanos.
Cabe señalar, que la Ley de protección a la vida privada N° 19.628, si bien contiene una serie de principios y garantías, estas no están acorde al entorno tecnológico actual ni de acuerdo a las modernas legislaciones en la materia, pues ha puesto en el centro la actividad económica del tratamiento de datos y no a las personas.
En ese sentido, la ley anterior estaba desactualizada y no fue concebida para proteger derechos de las personas, por lo que se hizo imperante una adecuada protección de los datos personales para el ejercicio de los derechos fundamentales en la red y fuera de ella, en entornos en línea y entornos físicos.
Por lo anteriormente expuesto es que en el año 2017 fue ingresado un proyecto de ley que contempla una reforma en la materia, de forma de mejorar el estándar de derechos, los principios que la ley establece y las obligaciones de los responsables, impulsando de esa manera los profundos cambios legislativos que son necesarios.
Objetivo
La nueva ley sobre protección de datos personales tiene como finalidad, regular la forma y condiciones en las que se realiza el tratamiento de este tipo de información, y mejorar la protección de los derechos de sus titulares, en conformidad a lo dispuesto por el artículo 19, N° 4, de la Constitución Política de la República.
Con la nueva legislación, el estándar chileno se homologa al establecido por el Reglamento General de Protección de Datos de la Unión Europea, establecido como la referencia internacional para la protección de los derechos de las personas y sus datos personales.
Contenido
En un primer acercamiento, la ley dispone que todo tratamiento de datos personales que realice una persona natural o jurídica, incluidos los órganos públicos, debe respetar los derechos y libertades de las personas.
El régimen descrito no se aplicará al tratamiento de datos que se realice en el ejercicio de las libertades de emitir opinión y de informar. Tampoco serán aplicables las normas de la nueva norma, al uso de antecedentes que efectúen las personas naturales en relación con sus actividades personales.
Ámbito de aplicación territorial
Las disposiciones de la presente ley se aplicarán al tratamiento de datos personales que se realice bajo cualquiera de las siguientes circunstancias:
• Cuando el responsable o mandatario esté establecido o constituido en territorio nacional.
• Si el mandatario, con independencia de su lugar de establecimiento o constitución, realice las operaciones a nombre de un responsable establecido o constituido en territorio nacional.
• Cuando el responsable o mandatario no se encuentren establecidos en el territorio nacional, pero sus operaciones ofrezcan bienes o servicios a titulares que se encuentren en Chile.
• El realizado por un responsable que, sin estar establecido en el territorio nacional, le resulte aplicable la legislación nacional a causa de un contrato o del derecho internacional.
Definiciones
Para el cabal entendimiento de la materia, la normativa presenta una serie de conceptos, entre los cuales destacan los siguientes:
– Dato personal: cualquier información vinculada o referida a una persona natural identificada o identificable. Se considerará identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante uno o más identificadores, tales como el nombre, el número de cédula de identidad, el análisis de elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona. Para determinar si una persona es identificable deberán considerarse todos los medios y factores objetivos que razonablemente se podrían usar para dicha identificación en el momento del tratamiento.
– Datos personales sensibles: tendrán esta condición aquellos datos personales que se refieren a las características físicas o morales de las personas o a hechos o circunstancias de su vida privada o intimidad, que revelen el origen étnico o racial, la afiliación política, sindical o gremial, la situación socioeconómica, las convicciones ideológicas o filosóficas, las creencias religiosas, los datos relativos a la salud, al perfil biológico humano, los datos biométricos, y la información relativa a la vida sexual, a la orientación sexual y a la identidad de género de una persona natural.
– Tratamiento de datos: cualquier operación o conjunto de operaciones o procedimientos técnicos, de carácter automatizado o no, que permitan de cualquier forma recolectar, procesar, almacenar, comunicar, transmitir o utilizar datos personales o conjuntos de datos personales.
– Anonimización: procedimiento irreversible en virtud del cual un dato personal no puede vincularse o asociarse a una persona determinada, ni permitir su identificación, por haberse destruido o eliminado el nexo con la información que vincula, asocia o identifica a esa persona. Un dato anonimizado deja de ser un dato personal.
– Seudonimización: tratamiento de datos personales que se efectúa de manera tal que ya no puedan atribuirse a un titular sin utilizar información adicional, siempre que dicha información adicional figure por separado y esté sujeta a medidas técnicas y organizativas destinadas a garantizar que los datos personales no se atribuyan a una persona natural identificada o identificable.
Principios Rectores
El texto legal dispone que el tratamiento de los datos personales se rige por los siguientes principios: Principios de licitud y lealtad, Principio de finalidad, Principio de proporcionalidad, Principio de calidad, Principio de responsabilidad, Principio de seguridad, Principio de transparencia e información y Principio de confidencialidad.
Derechos del titular de datos
Los derechos de los titulares de los datos personales establecidos detalladamente por la ley son: Acceso, Rectificación, Supresión, Oposición, Portabilidad y Bloqueo.
La ley establece el procedimiento y los medios para que los titulares hagan valer estas garantías ante los responsables de datos, definiendo los alcances de cada uno de ellos y determinando que son personales, intransferibles e irrenunciables y no pueden limitarse por ningún acto o convención.
Consentimiento
El cuerpo legal determina que es lícito el tratamiento de los datos personales que le conciernen al titular, cuando otorgue su consentimiento para ello. Este debe ser libre, informado y específico en cuanto a su finalidad o finalidades. Asimismo, debe manifestarse en forma previa y de manera inequívoca, mediante una declaración verbal, escrita o expresada a través de un medio electrónico equivalente, o mediante un acto afirmativo que dé cuenta con claridad de la voluntad del titular.
Cuando el consentimiento lo otorgue un mandatario, éste deberá encontrarse expresamente premunido de esta facultad.
El titular puede revocar el consentimiento otorgado en cualquier momento y sin expresión de causa. Cabe señalar, que la revocación del consentimiento no tendrá efectos retroactivos.
Por otra parte, la ley enumera las opciones en que es lícito el tratamiento de datos personales, sin el consentimiento del titular. Entre ellas se encuentra cuando se requiera el cumplimiento de una obligación legal o para la celebración de un contrato.
Otras disposiciones
La nueva ley determina las obligaciones del responsable de datos, así como los deberes comprometidos (confidencialidad, transparencia, etc).
El responsable de datos está obligado a mantener secreto o confidencialidad acerca de los datos personales que conciernan a un titular, salvo cuando el titular los hubiere hecho manifiestamente públicos. Este deber subsiste aún después de concluida la relación con el titular.
Asimismo, se regula el tratamiento de los datos personales sensibles, los relativos a la salud y al perfil biológico humano, los de carácter biométrico y los de niños, niñas y adolescentes.
Agencia de Protección de Datos Personales
La ley crea una institucionalidad para la protección de los datos personales denominada Agencia de Protección de Datos Personales.
La Agencia será una corporación autónoma de derecho público, de carácter técnico, descentralizado, con personalidad jurídica y patrimonio propio.
Su objetivo radica en velar por la efectiva protección de los derechos que garantizan la vida privada de las personas y sus datos personales y fiscalizará el cumplimiento de sus disposiciones.
Marco de infracciones y sanciones
El texto establece un catálogo de conductas e infracciones: leves, graves y gravísimas, las que se sancionarán con multas de hasta 5.000 UTM, 10.000 UTM y 20.000 UTM, respectivamente.
Se debe destacar, que se trata de multas que se encuentran entre las más altas de nuestro ordenamiento jurídico.
Por otra parte, las responsabilidades en que incurra una persona natural o jurídica por las infracciones establecidas en esta ley se entienden sin perjuicio de las demás responsabilidades legales, civiles o penales, que pudieran corresponderle.
Vigencia
El artículo primero transitorio de la presente ley establece que comenzará a regir el día primero del mes vigésimo cuarto posterior a la publicación de esta ley en el Diario Oficial.
Modificaciones
La norma en comento modifica los siguientes cuerpos legales:
– Ley N° 19.628, sobre protección de la vida privada
– Ley N° 20.285, sobre acceso a la información pública
– DFL N° 3, Fija texto refundido, coordinado y sistematizado de la Ley N° 19.496, que establece normas sobre protección de los derechos de los consumidores
