Alerta legal: proyecto de ley de datos personales: ¿qué viene ahora?

17 de mayo, 2023 | Por Matías Zegers, Carla Illanes, Juan Cristóbal Ríos y José Tomás Musalem

El pasado lunes 8 de mayo, se despachó a tercer trámite constitucional el Proyecto de Ley Sobre Protección de los Datos Personales (“PDL”). Considerando la acelerada tramitación que ha tenido el PDL en los últimos meses, se espera que durante este año nuestro país cuente con una normativa adecuada al entorno de economía digital en el que nos desenvolvemos, con una autoridad rectora, nuevos derechos para los titulares de los datos y la posibilidad de que las organizaciones puedan certificar sus modelos de cumplimiento, entre otras materias.
 
Principales cambios del PDL

a. Nuevas obligaciones del responsable de datos: tendrá que informar y poner a disposición de los titulares los antecedentes que acrediten la licitud de su tratamiento; mantener secreto o confidencialidad acerca de los datos personales que conciernan a un titular; de acuerdo con el estado de la técnica, aplicar medidas técnicas y organizativas adecuadas desde el diseño con anterioridad y durante el tratamiento de los datos personales.

b. El consentimiento y la ley dejarán de ser las principales fuentes de tratamiento, incorporándose el interés legítimo, el tratamiento basado en la necesidad para la ejecución de un contrato (comprendiendo las relaciones precontractuales) y el tratamiento realizado de conformidad con la ley para la formulación, ejercicio o defensa de un derecho ante los tribunales de justicia u órganos públicos.

c. Tratamiento de datos sensibles, este sólo podrá realizarse cuando el titular manifieste su consentimiento en forma expresa, otorgado a través de una declaración escrita, verbal o por un medio tecnológico equivalente. La excepción a dicha regla se verificará cuando el tratamiento de datos sea necesario para el ejercicio de derechos y el cumplimiento de obligaciones del responsable o del titular de datos, en el ámbito laboral o de seguridad social, y se realice en el marco de la ley.

d. Asimismo, se incorporan nuevos principios de tratamiento: de licitud y lealtad; finalidad; proporcionalidad; calidad; responsabilidad; transparencia e información y confidencialidad.

e. Introduce la figura del delegado de protección de datos (“DPO”): cada responsable del tratamiento deberá designar un DPO. Este deberá contar con autonomía respecto de la administración y en las micro, pequeñas y medianas empresas, el dueño o sus máximas autoridades podrán asumir personalmente las tareas de DPO. El cual deberá —entre otras obligaciones— cooperar y actuar como punto de contacto de la Agencia y asistir a los miembros de la organización en la identificación de los riesgos asociados a la actividad de tratamiento y las medidas a adoptar para resguardar los derechos de los titulares de datos personales.

f. Modelo de Prevención de Infracciones: el PDL desarrolla un catálogo de infracciones y sanciones, atenuantes y agravantes, un procedimiento infraccional y otro de reclamación judicial. Finalmente, se establece un sistema que previene e incentiva el cumplimiento voluntario de la ley, el cual deberá ser acreditado ante la Agencia de Protección de Datos.

g. Multas: se debe distinguir:

    • Infracciones leves: amonestación escrita o multa de 1 a 100 Unidades Tributarias Mensuales (UTM).
    • Infracciones graves: multa de hasta 10.000 UTM. En el caso de empresas, hasta la suma equivalente al 2% de los ingresos anuales por ventas y servicios y otras actividades del giro en el último año calendario, con un máximo de 10.000 UTM.
    • Gravísimas: multa de hasta 20.000 UTM. En el caso de empresas, multa de hasta la suma equivalente al 4% de los ingresos anuales por ventas y servicios y otras actividades del giro en el último año calendario, con un máximo de 20.000 UTM

h. Agencia de Protección de Datos (APD): deberá velar por la efectiva protección de los derechos que garantizan la vida privada de las personas y sus datos personales y fiscalizar su cumplimiento.

i. Se regulan las transferencias internacionales de datos personales, determinándose los casos en los que serán lícitas, entre los cuales se encuentra transferir a organizaciones, entidades o personas que proporcionen niveles adecuados de protección de datos personales o que se encuentren amparadas mediante cláusulas contractuales tipo.

Mejores prácticas
 
El avance del PDL supone una oportunidad para quienes se anticipen en su implementación. En ese sentido, el camino que han recorrido las organizaciones en Europa a propósito de la dictación el año 2018 del Reglamento General de Protección de Datos (“GDPR”), nos entrega una serie de mejores prácticas que es importante tener a la vista en nuestro país, sobre todo considerando que el PDL establece como una obligación para el responsable de datos la adopción de medidas destinadas a evitar la comisión de infracciones.
 
En general, en el proceso europeo, el diseño de diagnósticos permitió sentar una línea de base sobre el estado actual, las brechas y desafíos de cada entidad, lo que contribuyó a que las organizaciones avanzaran en la construcción de modelos de prevención de infracciones implementables, medibles y perfectibles en el tiempo.
 
En definitiva, en un contexto global donde la opinión pública, consumidores y usuarios otorgan mayor importancia al posicionamiento público de las compañías en materia de privacidad; en la experiencia europea, el desarrollo por parte de las organizaciones de programas de cumplimiento certificados ante sus respectivas agencias les permitió actuar más rápido frente a brechas de seguridad y amenazas, elemento fundamental a la hora de enfrentar este desafío. 

Contacto:
Para más información, por favor contactar a:
Matías Zegers 
Socio
mzegers@dlapiper.cl 

* Este reporte provee de información general sobre ciertas cuestiones de carácter legal o comercial en Chile y no tiene por fin analizar en detalle las materias contenidas en este, ni tampoco está destinado a proporcionar una asesoría legal particular sobre las mismas. Se sugiere al lector buscar asistencia legal antes de tomar una decisión relativa a las materias contenidas en el presente informe. Este informe no puede ser reproducido por cualquier medio o en parte alguna, sin el consentimiento previo de DLA Piper Chile 2023.