Nota del editor: la IAPP mantiene una posición neutral en cuestiones de políticas. Publicamos artículos de opinión y análisis de colaboradores para ofrecer a nuestros miembros una amplia gama de puntos de vista en nuestros ámbitos.
Con fecha 27 de mayo del 2025, se publicó el Reglamento de Seguridad Privada de la Ley Nº 21.659, entendiéndose por tales "el conjunto de actividades o medidas de carácter preventivas, coadyuvantes y complementarias de la seguridad pública, destinadas a la protección a la protección de personas, bienes y procesos productivos, desarrolladas en un área determinada y realizadas por personas naturales o jurídicas de derecho privado" (Art. 1º). Entre las actividades de seguridad privada, indica que se encuentra la vigilancia, protección y seguridad de establecimientos; la instalación y mantenimiento de aparatos, equipos, dispositivos, componentes tecnológicos y sistemas de seguridad electrónica conectados a centrales receptoras de alarmas, entre otros indicados en el artículo 2º del citado reglamento. Uno de los aspectos interesante del reglamento, es la obligación a las instituciones públicas o privadas llamadas a ejercer seguridad privada deben a saber "respetar y proteger los derechos humanos y libertades fundamentales, especialmente si se trata de personas en situación de vulnerabilidad, niños, niñas o adolescentes y personas en situación de discapacidad" (art. 3º, numeral 5). Esto se vincula directamente con un enfoque en que, diversas actividades que reconoce el citado reglamento implican actividades de tratamiento de datos personales y por ende, puede implicar un riesgo a los derechos y libertades de titulares de datos personales, por lo que, tiene una aplicación directa la Ley Nº 19.628 sobre protección a la vida privada, modifica por la reciente publicada Ley Nº 21.719 que crea la Agencia de Protección de Datos Personales y que entra en vigencia el 1º de diciembre del 2026. Unido a ello, el reglamento refuerza la necesidad de transmitir, por parte de los sujetos obligados, de datos personales y placas de patentes únicas de vehículos que ingresen a recintos, previo requerimiento del Ministerio Público o las policías, señalando inclusive que cuando es realizada de buena fe, no se considera a infracciones de confidencialidad (inciso final del art. 5º del reglamento), debiendo evaluarse a la luz de los principios de la normativa sobre protección de datos personales. Finalmente, indica, que existirá una plataforma que será administrada por la Subsecretaría de Prevención del Delito, que estará interconectada con las autoridades fiscalizadoras, y servirá de apoyo en los procedimientos administrativos y en materia de seguridad privada (art. 115º).
Analizando en detalle la regulación, señala que los vigilantes privados, "aquellos que realizan labores de protección a personas y bienes dentro de un recinto o área determinada para portar armas, credencial y uniforme" (art. 26º del Reglamento), como los guardas privados, es decir, es personal auxiliar que apoya las funciones de vigilancia y protección (sin porte de armas) deberán contar con un curso sobre privacidad y protección de datos personales con énfasis en la adecuada protección, es decir, el comprender su rol en cuanto pueden capturar datos personales en situaciones propias de su labor, deben tener conocimientos asociados a las obligaciones que tendrán en su rol de encargado del tratamiento, por ejemplo. Agrega, además, que estos cursos serán aprobados por la Subsecretaría de Prevención del Delito en cuanto y que los capacitadores de dichos cursos deberán contar con requisitos específicos, entre ellos (art 107º).
En el mismo sentido y analizando algunas actividades propias de la seguridad privada, uno puede a primera vista identificar algunos usos de datos personales, tales como por ejemplo:
La vigilancia, protección y seguridad de establecimientos; e instalación y mantenimiento de aparatos, equipos, dispositivos, componentes tecnológicos y sistemas de seguridad electrónica. (Art. 2 Nº 4)
Obligación de transmitir datos personales y placas únicas de los vehículos, que ingresen a los recintos al Ministerio Público y policías (art. 5º).
Conservar y poner a disposición de las autoridades todos los antecedentes, instrumentos, efectos y pruebas que permiten individualizar a autores o partícipes de delitos (art. 3 Nº 3)
Sistemas de vigilancia privada (art. 21º) para las empresas de transporte de valores, instituciones bancarias y financieras de cualquier naturaleza, y las empresas de apoyo al giro bancario que reciban o mantengan dinero en sus operaciones.
Sistema de registro audiovisual por parte de los vigilantes privados, entendida como “el conjunto de dispositivos tecnológicos de grabación, procesamiento y/o almacenamiento de imágenes y sonidos, incluyendo su transmisión en tiempo real, así como la reconstrucción de una secuencia de imágenes que representen escenas en movimiento utilizados por los vigilantes privados en el ejercicio de sus funciones” (art. 36º)
Actividades de las empresas de seguridad electrónica, en particular aquellas que administran servicios de televigilancia y alarma (art 76º), entre otras.
Para todas estas actividades en que se capturan datos personales y por ende, se realizan diversos usos de acuerdos a los procesos señalados en la reglamentación, es indispensable, tener en consideración, algunos principios descritos en la regulación de datos personales, tales como la licitud del tratamiento - en que nos encontraremos usualmente ante la ejecución o el cumplimiento de una obligación legal-, finalidad, proporcionalidad y seguridad de los datos (ej. en los controles de accesos y cámaras en establecimientos). Además de ello, se debe permitir el total ejercicio de los derechos a los titulares de datos personales (acceso, rectificación, supresión u oposición; portabilidad), salvo que exista alguna limitación legal (ej. art. 23º de la Ley Nº 21.719 que modifica la Ley Nº 19.628). Asimismo, en los casos en que existan por ejemplo “tratamiento que implique un observación o monitoreo sistemático de una zona de acceso público” (art. 15º ter Ley Nº 21.719, letra b), deberá realizarse evaluaciones de impacto, considerando aspectos tales como la descripción de las operaciones de tratamiento, la finalidad, la evaluación de la necesidad y la proporcionalidad con respecto a la finalidad, y por ende, los riesgos y sus medidas de mitigación.
También, nos indica que las instituciones bancarias y financieras de cualquier naturaleza y las empresas de apoyo al giro bancario deben incorporar un sistema de filmación que les puedan generar registro de alta resolución que permitan la grabación de imágenes nítidas con indicación de la hora, día, mes y año de captura, permaneciendo en funcionamiento continuo. Estas cámaras deberán quedar ocultas o debidamente resguardadas de posibles intrusiones. Se mantendrán almacenados por un período de al menos, 120 días, salvo que la grabación sea susceptible de formar parte de una causa o investigación judicial o proceso administrativo, que deberá almacenarse mientras dure la tramitación corresponde; a su vez, aquellos que no fuesen requeridos por el Ministerio Público, deben ser destruidos después de 2 años desde su captura. (art. 46º numeral 4), por lo que está actividad también debiese cumplir principios tales como la proporcionalidad, finalidad y transparencia e información, sin que ello afecte el objetivo de la gestión.
Como conclusión, el Reglamento dictado avanza en incluir, desde el enfoque de la protección de datos personales, varios aspectos ya señalados. Se hace especial consideración a las actividades de tratamiento de datos personales propias de la seguridad privada, en donde el principio de licitud, proporcionalidad y medidas de seguridad, asociada a la transparencia e información, cobran relevancia en casos determinados y por ende, se vuelven aspectos críticos para el cumplimiento de la normativa, especialmente para aquellas organizaciones que definan los medios y fines en el tratamiento; y por ende, en cuanto su rol como responsable, o también como proveedores de instituciones financieras o bancarias obligadas a implementar medidas de seguridad privada, actuando como encargados del tratamiento, por ejemplo; en que sin lugar a duda, instrumentos un Modelo de Prevención de Infracciones y por ende, un registro de las actividades de tratamiento como un delegado de protección de datos personales en la organización que lidere la implementación de estas medidas organizativas y técnicas, serán tremendos diferenciadores al momento de implementar la Ley.
Juan Pablo González Gutiérrez es abogado, Director de HD Group en materia de protección de datos personales y ciberseguridad; y académico.