Con fecha 13 de diciembre de 2024, tras tramitarse por 7 años, se publicó en el Diario Oficial la ley N° 21.719, que regula la protección y el tratamiento de los datos personales y crea la Agencia de Protección de Datos Personales (la “Ley”), modificando la Ley N° 19.628 sobre Protección a la Vida Privada, vigente desde el año 1999.
La Ley entrará en vigencia en 24 meses desde su publicación en el Diario Oficial, es decir, el 1 de diciembre de 2026.
CONCEPTOS RELEVANTES
Para la adecuada comprensión de la presente Alerta es importante tener en consideración algunos conceptos relevantes:
- Dato Personal: cualquier información vinculada o referida a una persona natural identificada o identificable. Se considerará identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante uno o más identificadores, tales como el nombre, el número de cédula de identidad, el análisis de elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona.
- Datos personales sensibles: datos personales que se refieren a las características físicas o morales de las personas o a hechos o circunstancias de su vida privada o intimidad, que revelen el origen étnico o racial, la afiliación política, sindical o gremial, la situación socioeconómica, las convicciones ideológicas o filosóficas, las creencias religiosas, los datos relativos a la salud, al perfil biológico humano, los datos biométricos, y la información relativa a la vida sexual, a la orientación sexual y a la identidad de género de una persona natural.
- Tratamiento de Datos: cualquier operación o conjunto de operaciones o procedimientos técnicos, de carácter automatizado o no, que permitan de cualquier forma recolectar, procesar, almacenar, comunicar, transmitir o utilizar datos personales o conjuntos de datos personales.
- Responsable: toda persona natural o jurídica, pública o privada, que decide acerca de los fines y medios del tratamiento de datos personales, con independencia de si los datos son tratados directamente por ella o a través de un tercero mandatario o encargado
- Tercero mandatario o encargado: la persona natural o jurídica que trate datos personales, por cuenta del responsable de datos.
OBJETO Y APLICACIÓN DE LA LEY
El objeto de la Ley es el tratamiento y protección de los datos personales de las personas naturales, en conformidad al artículo 19 de la Constitución Política de la República.
Una de las novedades que tiene la Ley es que, en su ámbito de aplicación, contempla casos en los que la Ley tiene aplicación fuera de Chile. En consecuencia, la Ley se aplica en los siguientes supuestos:
- Cuando el responsable o mandatario esté establecido o constituido en territorio nacional.
- Cuando el mandatario, con independencia de su lugar de establecimiento o constitución, realice las operaciones de tratamiento de datos personales a nombre de un responsable establecido o constituido en territorio nacional.
- Cuando el responsable o mandatario no se encuentren establecidos en el territorio nacional pero sus operaciones de tratamiento de datos personales estén destinadas a ofrecer bienes o servicios a titulares que se encuentren en Chile, o a monitorear el comportamiento de titulares que se encuentran en territorio nacional.
PRINCIPIOS DEL TRATAMIENTO DE DATOS PERSONALES
Se incorporan una serie de principios que deberán regir todo tratamiento de datos personales: Licitud y Lealtad, Finalidad, Proporcionalidad, Calidad, Responsabilidad, Seguridad, Transparencia e Información y Confidencialidad. La Ley define cada uno de estos principios y sanciona su no cumplimiento.
FUENTES DE LICITUD O BASES DE LEGITIMACIÓN
La antigua Ley N° 19.628 contemplaba únicamente dos fuentes de licitud para el tratamiento de datos personales, que eran el consentimiento y la ley. En cambio, la Ley regula nuevos supuestos en los que será lícito el tratamiento de datos personales por parte del responsable, además del consentimiento del titular y la ley:
- Cuando el tratamiento esté referido a datos relativos a obligaciones de carácter económico, financiero, bancario o comercial.
- Cuando el tratamiento de datos sea necesario para la celebración o ejecución de un contrato entre el titular y el responsable, o para la ejecución de medidas precontractuales adoptadas a solicitud del titular.
- Cuando el tratamiento sea necesario para la satisfacción de intereses legítimos del responsable o de un tercero, siempre que con ello no se afecten los derechos y libertades del titular.
- Cuando el tratamiento de datos sea necesario para la formulación, ejercicio o defensa de un derecho ante los tribunales de justicia u órganos públicos.
OBLIGACIONES DEL RESPONSABLE
Se imponen una serie de nuevas obligaciones a los responsables, entre ellas destacamos las siguientes:
- Informar al titular sobre la licitud del tratamiento de sus datos, esto es, que cuentan con una base legitimadora para hacerlo, debiendo poner a su disposición los antecedentes que respalden dicha licitud y entregarle esta información de forma expedita si es requerida.
- Asegurar que los datos se obtengan de fuentes de acceso lícitas y con fines específicos, limitando su uso a estos fines.
- Comunicar o ceder información exacta, completa y actual, en conformidad a la Ley.
- Suprimir o anonimizar los datos personales obtenidos para la ejecución de medidas precontractuales.
- Cumplir con los demás principios y obligaciones establecidos por la Ley para el tratamiento de datos personales.
- El responsable de datos sin domicilio en Chile, que trate datos de residentes en el país, deberá mantener un medio de contacto para recibir comunicaciones de titulares y la Agencia.
DEBERES DEL RESPONSABLE
Además de las obligaciones antes mencionadas, se imponen una serie de deberes al responsable:
- Deber de secreto o confidencialidad:
El responsable debe mantener la confidencialidad de los datos personales, incluso después de finalizada la relación con el titular, salvo que éste los haya hecho públicos. - Deber de información y transparencia:
El responsable debe mantener a disposición del público la información que indica la Ley, como por ejemplo: Identificación del responsable, representante legal y encargado de prevención (en el caso que exista); Datos de contacto para solicitudes del titular; Políticas de seguridad adoptadas para proteger los datos; Derechos de los titulares y cómo ejercerlos; Categorías de datos tratados, finalidades, bases de licitud, entre otros. - Deber de protección desde el diseño y por defecto:
El responsable debe aplicar medidas técnicas y organizativas adecuadas desde la etapa de diseño y durante el tratamiento de datos personales, las que deben ser proporcionales al riesgo y teniendo en cuenta el estado de la técnica, costos, contexto y finalidad del tratamiento. Así, solo se deben tratar los datos estrictamente necesarios para la finalidad establecida. - Deber de adoptar medidas de seguridad:
El responsable debe adoptar medidas de seguridad para proteger los datos, considerando riesgos, costos, naturaleza del tratamiento y estado de la técnica, de forma que se garantice la confidencialidad, integridad, disponibilidad y resiliencia de los sistemas de tratamiento. - Deber de reportar vulneraciones a las medidas de seguridad:
El responsable debe notificar a la Agencia sobre vulneraciones de seguridad que afecten los datos personales y representen un riesgo para los derechos de los titulares. Además, en caso de vulneraciones graves, se debe notificar a los titulares afectados de forma clara, detallando los datos comprometidos y las acciones correctivas.
DERECHOS DE LOS TITULARES
La Ley otorga los siguientes derechos a los titulares de los datos:
- Derecho de acceso: derecho a solicitar y obtener confirmación acerca de si los datos personales del Titular están siendo tratados por el responsable, acceder a ellos en su caso, y a la información prevista en la Ley.
- Derecho de rectificación: derecho a solicitar al responsable que modifique o complete los datos personales del titular, cuando están siendo tratados por aquel, y sean inexactos, desactualizados o incompletos.
- Derecho de supresión: derecho a solicitar y obtener del responsable, que suprima o elimine sus datos personales del titular, de acuerdo a las causales previstas en la ley.
- Derecho de oposición: derecho a solicitar y obtener del responsable, que no se lleve a cabo un tratamiento de datos determinado, de conformidad a las causales previstas en la Ley.
- Derecho a la portabilidad: derecho a solicitar y obtener del responsable, una copia de sus datos personales en un formato electrónico estructurado, genérico y de uso común, que permita ser operado por distintos sistemas, y poder comunicarlos o transferirlos a otro responsable de datos.
- Derecho de bloqueo: derecho a solicitar la suspensión temporal de cualquier operación de tratamiento de datos, cuando el titular haya solicitado rectificar, suprimir o haya ejercido la oposición.
CREACIÓN DE LA AGENCIA DE PROTECCIÓN DE DATOS PERSONALES
La Ley prevé la creación de la Agencia de Protección de Datos Personales (la “Agencia”). Su principal objetivo es velar por la efectiva protección de los derechos que garantizan la vida privada de las personas y sus Datos Personales. Entre sus atribuciones clave están:
- Emitir normas obligatorias sobre el tratamiento de Datos Personales tras una consulta pública.
- Aplicar e interpretar las leyes y reglamentos en materia de protección de los Datos Personales.
- Fiscalizar el cumplimiento de las disposiciones contenidas en la Ley.
- Determinar infracciones y aplicar sanciones.
- Resolver reclamos de los titulares de Datos y desarrollar programas de difusión sobre la protección de Datos Personales.
- Colaborar con entidades nacionales e internacionales mediante convenios y certificar modelos de prevención de infracciones.
Este cambio soluciona uno de los problemas que tenía la antigua Ley N° 19.628, ya que dicha ley no contemplaba un organismo especializado que controlara y velara por la correcta aplicación de dicha ley y sancionara sus infracciones. En definitiva, esta novedad permite que la Ley sea plenamente aplicable y efectiva.
RÉGIMEN DE RESPONSABILIDAD
La Ley regula el régimen de responsabilidad por infracciones a la misma. Además, impone una gran carga a los responsables de tratamiento de datos, indicando que estos deberán adoptar una postura proactiva y responsable para asegurar que el tratamiento de Datos se realice de manera que se prevengan o mitiguen posibles daños.
La Ley contempla un catálogo de infracciones. Sin perjuicio de lo anterior, la Agencia será la encargada de definir los límites a través de normas interpretativas.
Las infracciones contempladas en la Ley son clasificadas según su gravedad, siendo estas leves, graves y gravísimas. A su vez, las multas se determinan en virtud de su clasificación, reincidencia, existencia de circunstancias atenuantes o agravantes.
- Infracciones Leves: Consiste en una amonestación escrita o multa, que puede llegar hasta las 5.000 UTM. Se consideran infracciones de este tipo, entre otras, las siguientes: infracción de deber de información y transparencia, no individualizar un medio para comunicarse con el Responsable del tratamiento, no responder alguna solicitud de algún titular, y cualquier otra infracción que no sea catalogada como grave.
- Infracciones Graves: Consiste en una multa que puede llegar hasta las 10.000 UTM. Son ejemplos de esta clase de infracciones las siguientes: tratar Datos Personales sin una base de licitud para hacerlo, vulnerar el deber de derecho o confidencialidad, tratar Datos de niños niñas y adolescentes en infracción a la ley, etc.
- Infracciones Gravísimas: Consiste en una multa que puede llegar hasta las 20.000 UTM. Se consideran infracciones de este tipo, entre otras, las siguientes: tratamientos de Datos en forma fraudulenta, destinar maliciosamente Datos a una finalidad diferente a la consentida por el titular, omitir deliberadamente la comunicación de vulneraciones a las medidas de seguridad, etc.
Además, para el caso de reincidencias en infracciones por parte de grandes empresas, se establece una regla especial de hasta el 2% (infracciones graves) o 4% (infracciones gravísimas) de los ingresos anuales por ventas y servicios y otras actividades del giro, en el último año calendario, aplicándose la que resulte más gravosa.
La responsabilidad y aplicación de multas por cada infracción se determinará en un procedimiento administrativo llevado ante la Agencia, sin perjuicio de poder recurrir con posterioridad ante la justicia ordinaria para su revisión.