20 Preguntas y respuestas sobre el Proyecto de Ley de Datos Personales de Chile

El Proyecto de Ley que modifica la Ley N° 19.628 sobre Protección de la Vida Privada, presentado el 27 de agosto de 2024, introduce cambios significativos en la legislación chilena sobre protección de datos personales. A continuación, se presentan 20 preguntas con sus respectivas respuestas, basadas en el contenido del documento:

Ámbito de Aplicación y Principios

1. ¿Cuál es el objetivo principal del proyecto de ley?

El objetivo principal es regular la forma y condiciones en que se tratan y protegen los datos personales de las personas naturales, en conformidad con el artículo 19, N° 4, de la Constitución Política de Chile.

2. ¿A quiénes se aplica la ley?

Se aplica a toda persona natural o jurídica, incluidos los órganos públicos, que realice tratamiento de datos personales.

3. ¿Existen excepciones al ámbito de aplicación de la ley?

Sí, el régimen de tratamiento y protección de datos no se aplica:

  • Al tratamiento de datos en el ejercicio de las libertades de opinión e información.
  • Al tratamiento de datos por personas naturales en relación con actividades personales.

4. ¿Cuándo se aplica la ley a responsables o mandatarios no establecidos en Chile?

La ley se aplica en las siguientes circunstancias:

  • Cuando el responsable o mandatario, aunque no estén establecidos en Chile, ofrezcan bienes o servicios a titulares de datos en Chile o monitoreen su comportamiento.
  • Cuando la legislación chilena sea aplicable al responsable debido a un contrato o al derecho internacional.

5. ¿Cuales son las principales definiciones? 

  • Dato personal: cualquier información vinculada o referida a una persona natural identificada o identificable. Se considerará identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante uno o más identificadores, tales como el nombre, el número de cédula de identidad, el análisis de elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona.
  • Para determinar si una persona es identificable deberán considerarse todos los medios y factores objetivos que razonablemente se podrían usar para dicha identificación en el momento del tratamiento.
  • Datos personales sensibles: tendrán esta condición aquellos datos personales que se refieren a las características físicas o morales de las personas o a hechos o circunstancias de su vida privada o intimidad, que revelen el origen étnico o racial, la afiliación política, sindical o gremial, la situación socioeconómica, las convicciones ideológicas o filosóficas, las creencias religiosas, los datos relativos a la salud, al perfil biológico humano, los datos biométricos, y la información relativa a la vida sexual, a la orientación sexual y a la identidad de género de una persona natural.
  • Tratamiento de datos: cualquier operación o conjunto de operaciones o procedimientos técnicos, de carácter automatizado o no, que permitan de cualquier forma recolectar, procesar, almacenar, comunicar, transmitir o utilizar datos personales o conjuntos de datos personales.

6. ¿Cuáles son los principios que rigen el tratamiento de datos personales?

El tratamiento de datos personales se rige por los principios de:

  • Licitud y lealtad: el tratamiento debe ser lícito y el responsable debe poder acreditarlo.
  • Finalidad: los datos deben recolectarse para fines específicos, explícitos y lícitos.
  • Proporcionalidad: los datos deben limitarse a los necesarios, adecuados y pertinentes.
  • Calidad: los datos deben ser exactos, completos, actuales y pertinentes.
  • Responsabilidad: el responsable es legalmente responsable del cumplimiento de los principios y obligaciones.
  • Seguridad: el responsable debe garantizar la seguridad de los datos.
  • Transparencia e información: el responsable debe brindar información al titular sobre el tratamiento de sus datos.
  • Confidencialidad: el responsable debe guardar secreto sobre los datos personales.

Derechos del Titular de Datos

7. ¿Cuáles son los derechos del titular de datos?

El titular tiene derecho a:

  • Acceso
  • Rectificación
  • Supresión
  • Oposición
  • Portabilidad
  • Bloqueo

8. ¿En qué consiste el derecho de acceso?

El titular puede solicitar al responsable confirmación de si sus datos se están tratando y, en caso afirmativo, acceder a ellos y a información adicional sobre el tratamiento.

9. ¿Cuándo se puede solicitar la supresión de datos personales?

El titular puede solicitar la supresión de sus datos en los siguientes casos:

  • Cuando los datos ya no sean necesarios para los fines del tratamiento.
  • Cuando el titular haya revocado su consentimiento y no exista otro fundamento legal.
  • Cuando los datos se hayan obtenido o tratado ilícitamente.
  • Cuando los datos sean caducos.
  • Por obligación legal o judicial.
  • Cuando el titular haya ejercido su derecho de oposición y no exista otro fundamento legal.

10. ¿Qué es el derecho de oposición y cuándo se puede ejercer?

El derecho de oposición permite al titular oponerse a un tratamiento específico de sus datos.

Se puede ejercer:

  • Cuando el tratamiento se base en intereses legítimos del responsable.
  • En casos de marketing directo, incluida la elaboración de perfiles.
  • Cuando los datos provengan de fuentes de acceso público y no exista otro fundamento legal.

11. ¿Qué se entiende por «decisiones individuales automatizadas» y qué derechos tiene el titular en relación con ellas?

Se refiere a decisiones basadas en el tratamiento automatizado de datos, incluida la elaboración de perfiles, que producen efectos legales o afectan significativamente al titular. El titular tiene derecho a oponerse y a no ser objeto de estas decisiones, salvo en algunos casos excepcionales.

Tratamiento de Datos y Categorías Especiales

12. ¿Cuando son las bases de licitud del tratamiento de datos personales?

  • Consentimiento.
  • Cuando el tratamiento esté referido a datos relativos a obligaciones de carácter económico, financiero, bancario o comercial y se realice de conformidad con las normas de la ley, incluidos los datos referidos a la situación socioeconómica del titular.
  • Cuando el tratamiento sea necesario para la ejecución o el cumplimiento de una obligación legal o lo disponga la ley.
  • Cuando el tratamiento de datos sea necesario para la celebración o ejecución de un contrato entre el titular y el responsable, o para la ejecución de medidas precontractuales adoptadas a solicitud del titular.
  • Cuando el tratamiento sea necesario para la satisfacción de intereses legítimos del responsable o de un tercero, siempre que con ello no se afecten los derechos y libertades del titular.
  • En todo caso, el titular podrá exigir siempre ser informado sobre el tratamiento que lo afecta y cuál es el interés legítimo en base al cual se efectúa dicho tratamiento.
  • Cuando el tratamiento de datos sea necesario para la formulación, ejercicio o defensa de un derecho ante los tribunales de justicia u órganos públicos.

13. ¿Qué obligaciones tiene el responsable de datos?

El responsable debe, entre otras cosas:

  • Informar al titular sobre el tratamiento de sus datos.
  • Asegurar la licitud de la fuente de los datos y la finalidad del tratamiento.
  • Comunicar o ceder información exacta, completa y actual.
  • Suprimir o anonimizar los datos cuando ya no sean necesarios.

14. ¿Qué requisitos se exigen para el tratamiento de datos sensibles tratamiento?

Son datos que revelan aspectos sensibles del titular, como origen racial, opiniones políticas, creencias religiosas, datos de salud, etc. Su tratamiento solo es lícito con el consentimiento expreso del titular, salvo en casos excepcionales.

15. ¿Qué normas especiales se aplican al tratamiento de datos sensibles relativos a la salud? Estos datos solo pueden tratarse para los fines previstos por las leyes sanitarias, con el consentimiento del titular o en casos excepcionales, como salvaguardar la vida del titular o en alertas sanitarias.

16. ¿Qué son los datos biométricos y qué información debe proporcionarse al titular para su tratamiento?

Son un tipo de dato sensible obtenido mediante técnicas específicas que permiten la identificación única del titular, como huellas dactilares o rasgos faciales. Para su tratamiento, se requiere consentimiento expreso y el responsable debe proporcionar información específica al titular, como la finalidad del tratamiento y la duración del mismo.

Sanciones e Infracciones

17. ¿Cuáles son las sanciones aplicables a las infracciones a la ley de datos?

Las sanciones varían según la gravedad de la infracción:

Infracciones leves: amonestación escrita o multa de hasta 5.000 UTM.  Infracciones graves: multa de hasta 10.000 UTM.

Infracciones gravísimas: multa de hasta 20.000 UTM.

18. ¿Qué ocurre en caso de reincidencia?

En caso de reincidencia, la multa puede triplicarse. Para empresas no consideradas de menor tamaño, la multa puede alcanzar el 2% (infracciones graves) o el 4% (infracciones gravísimas) de sus ingresos anuales.

19. ¿Qué otras sanciones pueden aplicarse?

Además de las multas, la Agencia puede:

  • Ordenar medidas para subsanar las causas de la infracción.
  • Aplicar un recargo del 50% a la multa si el responsable no implementa las medidas correctivas en 60 días.
  • Suspender temporalmente las operaciones de tratamiento de datos en caso de infracciones gravísimas reiteradas.

20. ¿Cuales son los modelos de prevención de infracciones ?

Los responsables de datos podrán voluntariamente adoptar un modelo de prevención de infracciones consistente en un programa de cumplimiento que podrá ser considerado como una atenuante frente a una potencial infracción.

El programa de cumplimiento deberá contener, al menos, los siguientes elementos:

a) Designación de un delegado de protección de datos personales.

b) Definición de medios y facultades del delegado de protección de datos.

c) La identificación del tipo de información que la entidad trata, el ámbito territorial en que opera, la categoría, clase o tipos de datos o bases de datos que administra, y la caracterización de los titulares de datos.

d) La identificación de las actividades o procesos de la entidad, sean habituales o esporádicos, en cuyo contexto se genere o incremente el riesgo de comisión de infracciones.

e) El establecimiento de protocolos, reglas y procedimientos específicos que permitan a las personas que intervengan en las actividades o procesos indicados en la letra anterior, programar y ejecutar sus tareas o labores de una manera que prevenga la comisión de las referidas infracciones.

f) Mecanismos de reporte interno sobre el cumplimiento de lo dispuesto en la presente ley, y mecanismos de reporte a la Autoridad de Protección de Datos.

g) La existencia de sanciones administrativas internas, así como de procedimientos de denuncia o castigo de responsabilidades de las personas que incumplan el sistema de prevención de infracciones.

La regulación interna a que dé lugar la implementación del programa, en su caso, deberá ser incorporada expresamente como una obligación en los contratos de trabajo o de prestación de servicios de todos los trabajadores, empleados y prestadores de servicios de las entidades que actúen como responsables de datos o los terceros que efectúen el tratamiento, incluidos los máximos ejecutivos de ellas, o bien, como una obligación del reglamento interno del que tratan los artículos 153 y siguientes del Código del Trabajo. En este último caso, se deben realizar las medidas de publicidad establecidas en el artículo 156 del mismo Código.

Información Adicional

Es importante destacar que este proyecto de ley aún no se ha publicado, por lo que está sujeto a modificaciones durante el proceso legislativo.