Aspectos generales
El pasado 26 de agosto del 2024, se puso fin a la discusión parlamentaria del Proyecto de ley que regula la protección y el tratamiento de los datos personales y crea la Agencia de Protección de Datos Personales (en adelante, «el Proyecto»), luego de más de 8 años de discusión, acercándose a los estándares europeos, siguiendo ejemplos en la región como los de Brasil y Ecuador. Actualmente, se encuentra pendiente la revisión de constitucionalidad ante el Tribunal Constitucional, para su posterior promulgación y publicación como ley.
El Proyecto coloca su énfasis en el resguardo de los derechos y libertades de los titulares de datos personales, reconociendo principios específicos en cuanto al uso de datos personales y mecanismos efectivos para que puedan ejercer sus derechos, además de una serie de obligaciones para los responsables y encargados del tratamiento.
Uno de los puntos controvertidos durante la discusión parlamentaria fue el ámbito de aplicación territorial, estableciendo que la normativa se aplicará a aquellos sujetos que estén constituidos en territorio chileno; quienes realicen operaciones de tratamiento de datos establecido en territorio nacional; quienes ofrecen bienes o servicios en Chile, ya sea por sus actividades o por aplicación de un contrato o del derecho internacional.
Principios y derechos de los titulares de datos personales
Los principios reconocidos en el Proyecto que concuerdan con la regulación europea son los de licitud y lealtad; finalidad; proporcionalidad; calidad; responsabilidad; seguridad; transparencia e información; y confidencialidad.
En cuanto a los derechos de los titulares, además de aquellos reconocidos actualmente en la Ley N.º 19.628 sobre protección a la vida privada, como el acceso, rectificación, cancelación (que ahora es denominado supresión) y oposición, se incluyen los de bloqueo, portabilidad y oposición a decisiones automatizadas. Se establece un procedimiento administrativo en el cual, si dentro de los 30 días corridos siguientes de la fecha de ingreso de la solicitud (que puede ser prorrogada por una vez), se deniegue total o parcialmente o no se entregue respuesta alguna dentro del plazo, el titular de los datos puede presentar una reclamación ante la Agencia de Protección de Datos Personales.
Otra novedad que incluye el Proyecto es que amplía las fuentes de licitud para el tratamiento de datos personales. Así, además del consentimiento (en cumplimiento con los requisitos, es decir, que deberá ser libre, informado y específico en cuanto a su finalidad) y la ley—que ya eran fuentes reconocidas en nuestra legislación vigente—, se incorpora la ejecución o cumplimiento de una obligación legal; el interés legítimo; y cuando es necesario para la formulación, ejercicio o defensa de un derecho ante tribunales de justicia u organismos públicos.
Obligaciones del responsables y tratamiento de datos personales
Respecto de las obligaciones para los responsables, se establecen el deber de procesar los datos de fuentes lícitas y adoptar una serie de medidas organizativas y técnicas para el cumplimiento de la normativa; el deber de secreto o confidencialidad; el deber de información y transparencia; el deber de protección desde el diseño y por defecto; el deber de adoptar medidas de seguridad y de reportar las vulneraciones a las medidas de seguridad. Además, se reconoce la diferenciación de estándares para aquellas empresas de menor tamaño, teniendo en consideración la actividad que desarrolla y el volumen, naturaleza, y las finalidades de los datos personales que trata. En el caso del encargado, es decir, quién actúa a nombre del responsable, en cuanto al tratamiento de datos personales, deberá cumplir con las condiciones contractuales respectivas y particularmente, el deber de confidencialidad y la adopción de medidas de seguridad, con las diferenciaciones respectivas.
Respecto de los datos personales sensibles, se reconoce que su tratamiento como regla general se deberá realizar con el consentimiento expreso del titular, sin perjuicio que podrán ser tratados cuando se hayan hecho manifiestamente públicos y su uso esté relacionado con los fines publicados; cuando exista un interés legítimo asociado en el tratamiento; cuando exista un interés vital involucrado; para la formulación, ejercicio o defensa de un derecho; y en el cumplimiento de un deber legal. Además, se establecen regímenes especiales respecto de los datos de carácter biométricos; datos relativos a niños, niñas y adolescentes; aquellos con fines históricos, estadísticos, científicos y de estudio o investigación; y de geolocalización.
Se mantiene la regulación vigente respecto a los datos personales relativos a obligaciones de carácter económico, financiero, bancario o comercial, donde se permite no solo comunicación del incumplimiento de obligaciones de ciertos títulos como hipotecas, préstamos sino también, en concordancia con el último trámite, la comunicación del cumplimiento de éstos.
Se fortalece el régimen en cuanto al tratamiento de datos personales por parte de organismos públicos, reconociéndose que es lícito cuando se realiza para el cumplimiento de sus funciones legales dentro del ámbito de sus competencias, actuando para estos efectos como responsables de datos, y no requiriendo el consentimiento del titular. Sin perjuicio de ello, se aplicarán todos los deberes y obligaciones antes señaladas para los responsables.
Una materia que no había sido abordada por nuestra normativa dice, en relación con la transferencia internacional de datos acordada, que es posible cuando: existan niveles adecuados de protección de datos en el país con que se produce la transferencia; cumpla con cláusulas contractuales, normas corporativas vinculantes u otro instrumento jurídico similar; exista un modelo de cumplimiento o mecanismo de certificación; exista consentimiento expreso del titular; se realice dentro del contexto de transferencias bancarias, financieras o bursátiles específicas; se cumplan obligaciones internacionales adquiridas o convenios de cooperación; exista una autorización expresa por ley; se produzca dentro del contexto de la colaboración judicial internacional; sea necesaria para la celebración o ejecución de un contrato o medidas precontractuales; y sea necesaria para adoptar medidas urgentes en materia médica o sanitaria.
De la Agencia de Protección de Datos Personales e infracciones
Un punto central del recientemente aprobado Proyecto es la creación de la Agencia de Protección de Datos Personales, siendo una corporación autónoma de derecho público de carácter técnico, descentralizado, con personalidad jurídica y patrimonio propio, que se relaciona a través del Ministerio de Economía. Cuenta con un consejo directivo conformado por tres consejeros. Posee funciones para dictar instrucciones, interpretar las disposiciones de la normativa, fiscalizar el cumplimiento de las obligaciones, determinar el incumplimiento de la regulación, ejercer potestad sancionatoria, resolver solicitudes y reclamos de los titulares de datos, realizar actividades de promoción y difusión, proponer al Presidente de la República y Congreso Nacional disposiciones para asegurar la debida protección de los datos personales; prestar asistencia técnica en la materia a los órganos autónomos; suscribir convenios de colaboración, participar con organismos internacionales, certificar y supervisar los modelos de cumplimiento, y administrar el Registro de Sanciones y Cumplimiento, entre otras.
A nivel de infracciones se reconocen aquellas leves, graves y gravísimas, cuyo procedimiento se encuentra detallado en el Proyecto. En el caso de las infracciones leves, se podrá sancionar con amonestación escrita o multa de hasta 5.000 UTM; aquellas graves, con multa de hasta 10.000 UTM, y aquellas gravísimas, con multa de hasta 20.000 UTM. En el caso de retraso en un plazo superior de 60 días respecto de la adopción de medidas tendientes a subsanar las razones que dieron motivo a la infracción, la Agencia podrá imponer un recargo de un 50% sobre la multa cursada.
Además, un punto controvertido en la última etapa de la tramitación legislativa es que en el caso de reincidencias se puede triplicar la multa impuesta, pero si fuese realizado por aquellas empresas diferentes a las que caen dentro de las categorías de menor tamaño, se podrá aplicar la multa más gravosa o un monto correspondiente al 2% o 4% de los ingresos anuales por ventas y servicios y otras actividades del giro en el último año calendario. Finalmente, y en el caso de reincidencia de infracciones gravísimas dentro de 24 meses, se podrá implementar la suspensión de las operaciones y actividades de tratamiento de datos que realiza el responsable de datos hasta por un período de 30 días, como una sanción accesoria.
En el caso de que las infracciones sean producidas por órganos públicos, la responsabilidad recaerá sobre el jefe superior del servicio, pudiendo ser sancionado con una multa del 20 al 50% de la remuneración mensual de éste. En caso de mantenerse la infracción, se podrá duplicar la sanción y hasta suspender el cargo hasta por cinco días.
Para concluir este punto, el Proyecto fomenta la autorregulación mediante el reconocimiento de los modelos de prevención de infracciones certificados por la agencia como un factor atenuante en caso de infracción. El modelo debe contener un programa de cumplimiento con a lo menos los siguientes elementos: un delegado de protección de datos personales (DPD, por sus siglas en inglés); la definición de medios y facultades para el delegado; identificación de la información que se trata; establecimiento de protocolos, reglas y procedimientos; mecanismos de reportes internos sobre el cumplimiento y ante la autoridad; la existencia de sanciones administrativas internas en caso de infracción del sistema de infracciones. La certificación del modelo tiene una duración de 3 años y es realizada por la Agencia.
Reflexiones finales
Para finalizar, la normativa tiene una vacancia legal de 24 meses desde su publicación en el Diario Oficial. Además, posterior a ese plazo y cuando ya se encuentre en vigencia, se deberá designar el consejo directivo dentro de los 60 días, entre otras disposiciones transitorias que contempla el Proyecto.
Sin lugar a duda, a nivel nacional, esta normativa supondrá un profundo cambio en la manera en que las organizaciones pública y privada tratan los datos personales, especialmente respecto de los derechos de los titulares de los datos y las obligaciones que deberán asumir todos los actores que procesan información personal, ya sea directamente o a nombre de otros. Además, al igual como se ha visto en la región, puede que el plazo de vacancia sea insuficiente para todos los cambios que deberán realizarse dentro de una institución, en favor no sólo de cumplir con la normativa sino también de tener trazabilidad de los datos personales capturados y procesados; y, por ende, una gestión de los riesgos de privacidad que sean identificados en sus actividades.
Juan Pablo González Gutiérrez es abogado y académico en derecho y nuevas tecnologías.
