El 27 de agosto, el Congreso despachó al ejecutivo, la Ley que fija un nuevo marco para el tratamiento de Datos Personales, modificando la actual Ley N° 19.628 sobre protección a la vida privada.  

Junto con cambiar la denominación a “Sobre protección a los Datos Personales”, la Ley incorpora diversas modificaciones al actual cuerpo normativo conforme se indicará a continuación: 

1. Modificación del artículo 1° de la Ley y creación del artículo 1° bis 

Tras su modificación, el nuevo artículo 1° fija el sentido y alcance de la Ley, señalando que todo tratamiento de datos personales deberá respetar los derechos y libertades de las personas, y quedará sujeto a las disposiciones de la presente ley. 

Asimismo, el artículo 1° Bis, fijará el ámbito de aplicación territorial de la Ley, estableciendo las circunstancias bajo las cuales se aplicarán las disposiciones de la Ley al tratamiento de datos personales. 

2. Modificación del Artículo 2° de la Ley. Definiciones. 

 La Ley modifica los siguientes conceptos del actual artículo 2°: a) Almacenamiento de datos; c) Comunicación de datos personales; f) Dato personal; g) Datos personales sensibles; i) Fuentes de acceso público. 

Además, la Ley elimina los siguientes conceptos: j) Modificación de datos; l) Procedimiento de disociación de datos; m) Registro o banco de datos; n) Responsable del registro o banco de datos; ñ) Titular de los datos; o) Tratamiento de datos; reemplazándolos por los siguientes: k) Anonimización; l) Seudonimización; m) Base de datos personales; n) Responsable de datos o responsable; ñ) Titular de datos o titular; o) Tratamiento de datos;  

Finalmente, la Ley introduce los siguientes conceptos: p) Consentimiento; q) Derecho de acceso; r) Derecho de rectificación; s) Derecho de supresión; t) Derecho de oposición; u) Derecho a la portabilidad de los datos personales; v) Cesión de datos personales; w) Elaboración de perfiles; x) Tercero mandatario o encargado; y) Agencia; z) Registro Nacional de Sanciones y Cumplimiento. 

 3. Reemplazo del artículo 3° de la Ley. Principios. 

La nueva Ley modifica el actual artículo 3, reemplazándolo íntegramente por uno nuevo que incorpora los principios que rigen el tratamiento de los datos personales. Estos principios son: a) Principios de licitud y lealtad; b) Principio de finalidad; c) Principio de proporcionalidad; d) Principio de calidad; e) Principio de responsabilidad; f) Principio de seguridad; g) Principio de transparencia e información; h) Principio de confidencialidad.  

4. Reemplazo del título I de la Ley: De los derechos del titular de datos personales 

La nueva Ley reemplazó el actual “Título I De la utilización de datos personales” por el siguiente: “Título I De los derechos del titular de datos personales” 

El nuevo Título regula los derechos de acceso, rectificación, supresión, oposición, portabilidad y bloqueo de datos personales. 

Además, la nueva Ley regula la forma y los medios en que el titular de datos podrá ejercer sus derechos y el procedimiento ante el responsable de datos. 

5. Reemplazo del título II de la Ley: Del tratamiento de los datos personales y de las categorías especiales de datos 

La nueva Ley reemplazó el actual “Título II De los derechos de los titulares de datos” por el siguiente: “Título II Del tratamiento de los datos personales y de las categorías especiales de datos”. Este nuevo título se encuentra compuesto por tres párrafos:  

5.1 Párrafo Primero: Del consentimiento del titular, de las obligaciones y deberes del responsable y del tratamiento de datos en general.  

Señala la Ley, que, por regla general, se podrán tratar los datos personales cuando haya consentimiento del titular. Junto con lo anterior, señala los casos en que no será necesario contar con el consentimiento del titular para tratar sus datos.  

También, el párrafo primero enlista las obligaciones del responsable de datos en relación con los datos de los titulares: 

a) Informar y poner a disposición del titular los antecedentes que acrediten la licitud del tratamiento de datos que realiza. Asimismo, deberá entregar de manera expedita dicha información cuando le sea requerida.

b) Asegurar que los datos personales se recojan de fuentes de acceso lícitas con fines específicos, explícitos y lícitos, y que su tratamiento se limite al cumplimiento de estos fines.

c) Comunicar o ceder, en conformidad a las disposiciones de esta ley, información exacta, completa y actual. 

d) Suprimir o anonimizar los datos personales del titular cuando fueron obtenidos para la ejecución de medidas precontractuales. 

e)Cumplir con los demás deberes, principios y obligaciones que rigen el tratamiento de los datos personales previstos en esta ley. 

Además, la Ley señala los siguientes deberes del responsable de datos: i) Deber de confidencialidad; ii) Deber de información u de transparencia; iii) Deber de protección desde el diseño y por defecto; iv) Deber de adoptar medidas de seguridad; v) Deber de reportar las vulneraciones a las medidas de seguridad; vi) Diferenciación de estándares de cumplimiento. 

Finalmente, la Ley regula la cesión de los datos personales. 

5.2 Párrafo Segundo: Del tratamiento de los datos personales sensibles.  

La Ley establece que, por regla general, los datos personales sensibles solo pueden tratarse con el consentimiento expreso del titular, salvo ciertos casos excepcionales en que no será necesario el consentimiento del titular.  

En cuanto a los datos personales sensibles relativos a la salud y al perfil biológico humano, la Ley establece que solo podrán ser tratados cumpliendo con los requisitos para el tratamiento de los datos personales sensibles y para los fines previstos por las leyes especiales en materia sanitaria. Además, establece que, excepcionalmente, se podrán tratar estos datos sin el consentimiento del titular.  

En cuanto a los datos personales biométricos, la Ley establece que solo podrán ser tratados cumpliendo con los requisitos para el tratamiento de los datos personales sensibles y siempre que se proporcione al titular cierta información específica (e.g. identificación del sistema biométrico utilizado) 

 5.3 Párrafo tercero: Del tratamiento de categorías especiales de datos personales:  

Otros tipos de datos personales regulados por la Ley son: Datos personales relativos a los niños, niñas y adolescentes; Datos personales con fines históricos, estadísticos, científicos y de estudios o investigaciones y Datos de geolocalización.

 6. Reemplazo del título IV de la Ley: Del tratamiento de datos personales por los órganos públicos 

La Ley reemplazó íntegramente el actual “Título IV Del tratamiento de datos por los organismos públicos” por el siguiente: “Título IV Del tratamiento de datos personales por los órganos públicos”. 

La Ley establece que, por regla general, es lícito el tratamiento de datos personales por los órganos públicos cuando se realiza en el cumplimiento de sus funciones legales. Junto con lo anterior, la Ley regula la cesión de los datos personales por órganos públicos y un procedimiento administrativo de tutela y reclamo de ilegalidad. 

Finalmente, el título IV establece la creación de un reglamento que regulará las condiciones, modalidades e instrumentos para la comunicación o cesión de datos personales entre organismos públicos y con personas u organismos privados. 

7. Reemplazo del título V de la Ley: De la transferencia internacional de datos personales 

La Ley reemplazó íntegramente el actual “Título V De la responsabilidad por las infracciones a esta ley” por el siguiente: “Título V De la transferencia internacional de datos personales” 

La Ley señala los casos en que son lícitas las operaciones de transferencia internacional de datos y le encomienda su fiscalización a la Agencia de protección de datos. 

8. Nuevos Títulos VI, VII y VIII 

8.1 Título VI: Autoridad de Control en materia de Protección de Datos Personales 

La Ley crea el Título VI Autoridad de Control en materia de Protección de Datos Personales, en virtud del cual se crea la Agencia de Protección de Datos Personales, corporación autónoma de derecho público, de carácter técnico, descentralizado, con personalidad jurídica y patrimonio propio cuyo objeto es velar por la efectiva protección de los derechos que garantizan la vida privada de las personas y sus datos personales, de conformidad a lo establecido en la Ley. 

Además de crear esta nueva institución, la Ley establece sus funciones y atribuciones, determina su dirección superior, su composición, remuneraciones, estatutos, entre otros. 

 8.2 Título VII: infracciones y sus sanciones, de los procedimientos y de las responsabilidades 

La Ley crea un título sobre las infracciones y sus sanciones, de los procedimientos y de las responsabilidades, señalando que, por regla general, el responsable de datos que infrinja los principios, derechos y obligaciones, será sancionado con de conformidad con las normas establecidas en este título el cual se encuentra compuesto por cinco párrafos. 

8.2.1 Párrafo primero: De la responsabilidad, las infracciones y las sanciones aplicables a las personas naturales o jurídicas de derecho privado. 

La Ley clasifica las infracciones en tres categorías: leves, graves y gravísimas, estableciendo causales para cada una de ellas. Además, respecto de cada una de estas infracciones, la Ley prevé las siguientes sanciones:  

• Infracciones leves: Multa de hasta 5.000 UTM; 

• Infracciones graves: Multa hasta 10.000 UTM; 

• Infracciones gravísimas: Multa hasta 20.000 UTM 

 Finalmente, la Ley establece atenuantes, agravantes y sanciones accesorias, además de crear un Registro Nacional de Sanciones y Cumplimiento administrado por la Agencia. 

8.2.2 Párrafo segundo: De los procedimientos administrativos 

La Ley establece un procedimiento de tutela de derechos ante la Agencia de Protección de Datos Personales en caso de que el Responsable deniegue total o parcialmente la solicitud realizada por el Titular o cuando no haya respuesta del Responsable dentro del plazo legal de acuerdo al artículo 11 de la Ley. 

 Junto con el procedimiento anterior, la Ley establece un procedimiento administrativo instruido por la Agencia de oficio o a petición de parte por las infracciones de Ley cometidas por los Responsables de Datos. Estas infracciones pueden ser por incumplimiento de los principios, de los derechos o de las obligaciones establecidas en la Ley. 

8.2.3 Párrafo tercero: Del procedimiento de reclamación judicial 

La Ley establece que si una persona natural o jurídica estima que un acto administrativo que paraliza el procedimiento o una resolución final o de término emanado de la Agencia, podrá deducir un reclamo de ilegalidad ante la Corte de Apelaciones de Santiago o ante la Corte de Apelaciones del domicilio del reclamante a su elección.  

8.2.4 Párrafo cuarto: De la responsabilidad de los órganos públicos, de la autoridad o jefe superior del órgano y de sus funcionarios 

La Ley establece el deber de responsabilidad del jefe superior del órgano público, fijando diversas sanciones en caso de infracciones a las normas establecidas en la Ley. Asimismo, la Ley fija sanciones a los funcionarios del órgano público que sean responsables individualmente, las cuales estarán determinadas por el estatuto administrativo.  

8.2.5 Párrafo quinto: De la Responsabilidad Civil 

La Ley establece, como regla general, que el responsable de datos deberá indemnizar el daño patrimonial y extrapatrimonial que cause al o los titulares, cuando en sus operaciones de tratamiento de datos infrinja los principios establecidos en el artículo 3°, los derechos y obligaciones establecidos en esta ley y les cause perjuicio (sin perjuicio del ejercicio de los demás derechos que concede la ley a los titulares de datos). Las acciones civiles que deriven de la infracción de la Ley prescriben al cabo de 5 años. 

Además, la Ley establece una obligación para los responsables de datos de prevenir la comisión de infracciones establecidas en la Ley y fija los elementos con los que deberá el modelo -voluntario- de prevención de infracciones los cuales serán certificados, registrados y supervisados por la Agencia de acuerdo a lo indicado en el Reglamento que se dictará. 

8.3 Título VIII: tratamiento de datos personales por el Congreso Nacional, el Poder Judicial y organismos públicos dotados de autonomía constitucional 

La Ley establece que es lícito el tratamiento de los datos personales que efectúan el Congreso Nacional, el Poder Judicial, la Contraloría General de la República, el Ministerio Público, el Tribunal Constitucional, el Banco Central, el Servicio Electoral y la Justicia Electoral, y los demás tribunales especiales creados por ley, cuando se realiza para el cumplimiento de sus funciones legales, dentro del ámbito de sus competencias y, de conformidad a las normas especiales que se establecen en sus respectivas leyes orgánicas y a las disposiciones del Título IV de esta ley aplicables a los órganos públicos, con excepción de lo dispuesto en el artículo 14 quinquies y en los artículos 44 a 46

9. Vigencia 

Las modificaciones a las leyes N° 19.628, sobre protección de la vida privada; N° 20.285, sobre acceso a la información pública, y N° 19.496, que establece normas sobre protección de los derechos de los consumidores entrarán en vigencia el día primero del mes vigésimo cuarto posterior a la publicación de esta ley en el Diario Oficial. 

Asimismo, los reglamentos referidos en la ley se deberán dictar dentro del plazo de seis meses contados desde la publicación de la ley en el Diario Oficial. 

Contáctanos para mayor información.

Gustavo Cuevas

Socio Fundador

gcuevas@cuevasabogados.cl

José Olbrich

Director

jolbrich@cuevasabogados.cl

Domingo Cruz

Asociado

dcruz@cuevasabogados