Novedades en la Ley de Protección de Datos
25 de julio de 2024 | Por Carla Illanes
Luego de más de siete años de tramitación, la Comisión Mixta despachó el proyecto de ley que regula el tratamiento de los datos personales y crea la Agencia de Protección de Datos Personales, en adelante la “Ley de Protección de Datos”, quedando pendiente su votación en la Cámara de Diputados y el Senado.
Este cambio legal busca fortalecer la protección de datos personales en el país y, con ello, ajustarnos a los estándares internacionales en materia de privacidad, según el Reglamento Europeo de Protección de Datos Personales (GDPR).
La Ley de Protección de Datos introduce cambios significativos en la protección de la privacidad en Chile, los cuales impactarán en la forma en que las empresas manejan y almacenan los datos de sus usuarios. Por lo tanto, es importante que las organizaciones analicen y ajusten sus prácticas para cumplir con estas nuevas regulaciones, evitando así posibles sanciones por incumplimiento.
Entre los principales aspectos de la nueva normativa, destacan los siguientes:
1. Nuevas obligaciones y principios
Se incorporan nuevos principios de tratamiento: licitud y lealtad, finalidad, proporcionalidad, calidad, responsabilidad, transparencia e información y confidencialidad.
El responsable de datos, que puede ser una persona natural o jurídica, y es quien decide sobre los fines y medios del tratamiento de datos personales, deberá:
-
-
-
- Informar y poner a disposición de los titulares los antecedentes que acrediten la licitud del tratamiento de sus datos.
- Mantener el secreto o la confidencialidad acerca de los datos personales que conciernan a un titular.
- Aplicar medidas técnicas y organizativas adecuadas para el tratamiento de datos personales de los titulares, aplicadas desde el diseño de los proyectos y que deberán persistir durante el tratamiento de los datos personales.
-
-
2. Nuevas figuras
a) Agencia de Protección de Datos: la Agencia deberá velar por la efectiva protección de los derechos que garantizan la vida privada de las personas y sus datos personales y fiscalizar su cumplimiento.
En dicho rol, deberá certificar, registrar y supervisar los modelos de prevención de infracciones y los programas de cumplimiento y administrar el Registro Nacional de Sanciones y Cumplimiento. También desempeñará un papel educativo, desarrollando programas, proyectos y acciones de difusión e información para la ciudadanía, y brindando asistencia técnica a diversos órganos.
b) Delegado de protección de datos (DPO): su figura será fundamental en el modelo de cumplimiento de las materias relacionadas con la Ley. Entre sus obligaciones estará cooperar y actuar como punto de contacto con la nueva Agencia y asistir a los miembros de la empresa en la identificación de los riesgos asociados a las actividades de tratamiento, así como determinar las medidas a adoptar para resguardar los derechos de los titulares de datos personales.
El DPO deberá contar con autonomía respecto de la administración de estos temas. En el caso de las micro, pequeñas y medianas empresas, el dueño o sus máximas autoridades podrán asumir personalmente estas tareas.
3. Modelo de prevención de infracciones
Se crea un sistema que previene e incentiva el cumplimiento voluntario de la Ley, el cual deberá ser certificado y acreditado ante la Agencia.
4. Infracciones y multas
Se establece un catálogo de infracciones y sanciones, atenuantes y agravantes, un procedimiento infraccional y otro de reclamación judicial. La Ley distingue entre infracciones leves, graves y gravísimas, con multas que pueden llegar a 20.000 UTM (aproximadamente USD 1,4 millones).
5. Tratamiento de datos sensibles
El tratamiento de datos sensibles solo podrá realizarse cuando el titular manifieste su consentimiento de forma expresa, otorgado a través de una declaración escrita, verbal o por un medio tecnológico equivalente. No obstante, la Ley establece excepciones a esta regla como, por ejemplo, el tratamiento de datos personales sensibles que el titular ha hecho público y que su tratamiento esté relacionado con los fines para los que se publicaron o que el tratamiento se base en un interés legítimo realizado por una persona jurídica de derecho público o privado que no persiga fines de lucro y se cumplan ciertas condiciones.
6. Transferencias internacionales de Datos
Se regulan las transferencias internacionales de datos personales, determinándose los casos en los que serán legales, como la transferencia a organizaciones, entidades o individuos que proporcionen niveles adecuados de protección de datos personales o amparadas por cláusulas contractuales tipo.
La Ley entrará en vigencia dos años después de su publicación en el Diario Oficial. Por su parte, se mandata la dictación de reglamentos dentro de los seis meses siguientes a la publicación de la Ley en el Diario Oficial.
Contacto: Para más información, por favor contactar a: Carla Illanes Counsel carla.illanes@dlapiper.cl |
*Este reporte provee de información general sobre ciertas cuestiones de carácter legal o comercial en Chile y no tiene por fin analizar en detalle las materias contenidas en este, ni tampoco está destinado a proporcionar una asesoría legal particular sobre las mismas. Se sugiere al lector buscar asistencia legal antes de tomar una decisión relativa a las materias contenidas en el presente informe. Este informe no puede ser reproducido por cualquier medio o en parte alguna, sin el consentimiento previo de DLA Piper Chile 2024.