Ley N. 19.628 sobre Protección de Datos Personales en Chile

La Ley 19.628 de Chile sobre Protección de Datos Personales es la normativa fundamental en esta materia. Para titulares de datos, responsables de tratamiento y profesionales del derecho, comprenderla a fondo es esencial. Esta página web ofrece una guía completa y actualizada, con 40 preguntas y respuestas clave que abarcan todos los aspectos relevantes de la Ley 19.628. Accede a la información que necesitas de forma rápida y organizada.

1. ¿Qué norma legal chilena es la encargada de proteger mis datos personales y por qué es importante?

La norma legal en Chile que vela por la protección de tus datos personales es la Ley 19628 sobre Protección de los Datos Personales, que entrará en vigencia el 1 de diciembre del 2026, actualmente llamada Ley de Protección de la Vida Privada. La nueva norma responde a la creciente necesidad de proteger la información personal en una sociedad cada vez más interconectada digitalmente. Esta legislación confiere a los ciudadanos la capacidad de gestionar el uso de sus datos, estableciendo límites claros para su tratamiento y minimizando el riesgo de abusos.

2. ¿Cuál es el objetivo principal de la Ley 19628 en Chile de forma sencilla? ¿Qué busca lograr realmente?

Imagina que tu información personal es como tu casa: quieres tener control sobre quién entra y qué hacen con tus cosas dentro. La Ley 19628 busca darte ese control sobre tus datos personales. Su objetivo principal es establecer reglas claras para quienes recolectan y usan tu información, asegurando que lo hagan de forma legal, transparente y respetando tus derechos. Busca un equilibrio: permitir que las organizaciones usen datos para funcionar, pero protegiendo al mismo tiempo tu privacidad.

3. ¿Se dice que la Ley N. 19.628 fue creada hace mucho tiempo, ¿es una ley antigua? ¿Cuándo se promulgó originalmente y por qué es relevante ahora?

Sí, la Ley 19628 fue promulgada originalmente en agosto de 1999. En términos tecnológicos, ¡eso es casi la prehistoria digital! Aunque es una ley «antigua», sigue siendo muy relevante hoy en día. Su relevancia ha aumentado exponencialmente con el auge de internet, las redes sociales, el comercio electrónico y la inteligencia artificial. La cantidad de datos personales que se recolectan y procesan hoy es muchísimo mayor que en 1999, haciendo la protección de la privacidad aún más crucial. Además, la ley ha sido actualizada recientemente para adaptarse a los nuevos desafíos digitales.

4. He escuchado sobre la Ley 21719, ¿cómo se relaciona con la Ley 19628? ¿La reemplaza o la complementa?

La Ley 21719, promulgada en diciembre de 2024, no reemplaza la Ley 19628, sino que la actualiza y la moderniza profundamente. Piensa en la Ley 21719 como una gran reforma a la Ley 19628. Introduce cambios muy importantes para fortalecer la protección de datos, como la creación de una Agencia de Protección de Datos, nuevos derechos para los ciudadanos, y obligaciones más detalladas para las empresas.

5. ¿Cuándo entra en plena vigencia la Ley N. 19.628 actualizada (Ley 21719)? ¿Tengo que preocuparme ya o tengo tiempo para adaptarme?

La mayoría de las disposiciones de la Ley 19.628, con las modificaciones introducidas por la Ley 21.719, tendrán una vigencia diferida hasta el 01 de diciembre de 2026. Esto significa que las nuevas reglas no estarán en pleno vigor inmediatamente. Sin embargo, no es tiempo para relajarse. Es crucial empezar a prepararse desde ahora. Las organizaciones y personas que manejan datos personales tienen este tiempo para adaptar sus prácticas, políticas y sistemas a las nuevas exigencias de la ley. La creación de la Agencia y algunas otras disposiciones ya están vigentes, así que la «marcha blanca» ya comenzó.

6. ¿A quiénes se aplica exactamente la Ley 19628? ¿Solo a empresas grandes o también a pequeños negocios y personas individuales?

La Ley 19628 es muy amplia en su alcance. Se aplica a cualquier persona, ya sea natural (individuos) o jurídica (empresas, organizaciones), que realice tratamiento de datos personales en Chile. Esto incluye:

• Grandes empresas (bancos, retail, telecomunicaciones, etc.)
• Pequeñas y medianas empresas (PYMEs) (comercios locales, consultorios, etc.)
• Organizaciones públicas (ministerios, municipalidades, etc.)
• Organizaciones sin fines de lucro (fundaciones, ONGs, etc.)
• Profesionales independientes (médicos, abogados, etc.)
• Incluso individuos que, por ejemplo, tengan una base de datos de clientes o contactos para fines comerciales.

No importa el tamaño o la naturaleza de la organización, si tratas datos personales en Chile, la ley te aplica.

7. ¿Si mi empresa es extranjera pero tengo clientes en Chile, me aplica la Ley 19628? ¿Qué pasa si solo opero online y no tengo oficinas físicas en Chile?

Sí, la Ley 19628 puede aplicarte incluso si tu empresa es extranjera y no tiene oficinas físicas en Chile. La ley se enfoca en dónde se dirigen las operaciones de tratamiento de datos, no solo en la ubicación del responsable. Si tu empresa:

• Ofrece bienes o servicios a personas que están en Chile, o
• Monitorea el comportamiento de personas que están en Chile (por ejemplo, a través de cookies en un sitio web),

Entonces, la Ley 19628 probablemente te aplicará, sin importar si tienes o no presencia física en el país. El comercio electrónico, las aplicaciones móviles y los servicios online que se dirigen al mercado chileno están generalmente cubiertos por la ley.

8. ¿Qué tipo de datos están protegidos por la Ley 19628? ¿Solo mi nombre y RUT o va más allá?

La Ley 19628 protege una amplia gama de datos personales, que van mucho más allá de solo el nombre y el RUT. Se considera «dato personal» cualquier información que pueda vincularse a una persona natural identificada o identificable. Esto incluye, por ejemplo:

• Datos identificativos: Nombre, RUT, domicilio, teléfono, correo electrónico, etc.
• Datos personales sensibles: (ver pregunta 13) Información sobre salud, origen étnico, creencias religiosas, opiniones políticas, etc.
• Datos económicos y financieros: Ingresos, historial crediticio, cuentas bancarias, etc.
• Datos académicos y laborales: Historial educativo, experiencia laboral, evaluaciones de desempeño, etc.
• Datos de ubicación: Geolocalización de dispositivos móviles, historial de viajes, etc.
• Datos de navegación y comportamiento online: Cookies, historial de navegación, búsquedas, interacciones en redes sociales, etc.

En resumen, prácticamente cualquier información que pueda relacionarse contigo como individuo puede ser considerada dato personal y estar protegida por la ley.

9. ¿Hay algún tipo de datos que NO estén cubiertos por la Ley 19628? ¿Hay excepciones?

Sí, existen algunas excepciones limitadas en las que el tratamiento de datos personales no se rige completamente por la Ley 19628:

• Libertad de Expresión e Información de Medios de Comunicación: El tratamiento de datos que realicen los medios de comunicación social para opinar e informar (periodismo, noticias, etc.) no está completamente cubierto por la ley. Sin embargo, si los medios usan datos para fines distintos, como marketing o análisis de perfiles, sí les aplicaría la ley en esa parte.
• Actividades Personales: El tratamiento de datos personales que realices para tus actividades puramente personales o domésticas (por ejemplo, tu agenda de contactos personal) tampoco está cubierto. La ley no regula lo que haces en tu esfera privada.

Estas excepciones son interpretadas de forma restrictiva. En la mayoría de los casos, si estás recolectando y usando datos personales, la Ley 19628 te aplicará.

10. He leído sobre el «ámbito de aplicación territorial» de la Ley 19628. ¿Qué significa esto en palabras sencillas? ¿Dónde se aplica la ley realmente?

El «ámbito de aplicación territorial» de la Ley 19628 define dónde geográficamente se considera que se está aplicando la ley. En términos sencillos, la ley chilena se aplica cuando el tratamiento de datos tiene una conexión relevante con Chile, incluso si la organización responsable no está físicamente ubicada aquí. Las situaciones principales donde se aplica la ley territorialmente son:

• Responsable o Mandatario Establecido en Chile: Si la organización que decide cómo se usan los datos (responsable) o su representante legal (mandatario) está establecida o constituida en territorio chileno, la ley se aplica.
• Operaciones de Tratamiento en Chile: Aunque la organización no esté en Chile, si las operaciones de tratamiento de datos personales (recolección, almacenamiento, uso, etc.) se realizan en Chile, la ley se aplica.
• Mercado Chileno o Monitoreo en Chile: Incluso si la organización y sus operaciones están fuera de Chile, si el tratamiento de datos está dirigido a ofrecer bienes o servicios a personas en Chile, o a monitorear su comportamiento en Chile, la ley chilena se aplica. Esto es muy relevante para empresas online que operan a nivel internacional pero se dirigen al público chileno.
• Legislación Chilena Aplicable por Contrato o Derecho Internacional: En casos donde la ley chilena sea aplicable a una organización por un contrato que firmó o por normas de derecho internacional, la Ley 19628 también se aplicará, incluso si la organización no tiene presencia física en Chile.

En resumen, la ley chilena busca proteger a las personas que están en Chile en relación a sus datos personales, incluso si esos datos son tratados por organizaciones fuera del país, siempre que exista una conexión sustancial con el territorio chileno.

11. ¿Qué significa exactamente «tratamiento de datos personales»? ¿Qué acciones concretas incluye esta definición?

«Tratamiento de datos personales» es un término muy amplio que abarca cualquier cosa que se haga con datos personales. No se limita a acciones complejas o tecnológicas. La ley lo define como «cualquier operación o conjunto de operaciones o procedimientos técnicos, de carácter automatizado o no» que permitan:

• Recolectar: Obtener datos personales de cualquier fuente (formularios, encuestas, bases de datos, etc.).
• Procesar: Analizar, organizar, modificar o transformar los datos.
• Almacenar: Guardar o archivar los datos en cualquier formato (digital o físico).
• Comunicar: Dar a conocer los datos a otras personas o entidades, sin transferirlos.
• Transmitir: Enviar o transferir datos a otras personas o entidades.
• Utilizar: Usar los datos para cualquier fin (marketing, análisis, toma de decisiones, etc.).

En pocas palabras, desde el momento en que obtienes un dato personal y lo usas para algo, estás realizando un tratamiento de datos personales bajo la ley. Incluso acciones aparentemente simples, como guardar un nombre en una lista de correo electrónico, son consideradas tratamiento.

12. ¿Cuál es la diferencia clave entre «dato personal identificado» y «dato personal identificable»? ¿Por qué es importante esta distinción?

La diferencia entre «dato personal identificado» e «identificable» es sutil pero importante para entender el alcance de la ley:

• Dato Personal Identificado: Es cuando la identidad de la persona ya está directamente determinada en el dato. Por ejemplo: «Juan Pérez, RUT 12.345.678-9». El nombre y el RUT identifican directamente a una persona específica.
• Dato Personal Identificable: Es cuando el dato no identifica directamente a la persona, pero puede ser usado para determinar su identidad al combinarlo con otra información o utilizando medios razonables. Por ejemplo: una dirección IP, un número de teléfono, una placa patente de un auto. Por sí solos no dicen quién es la persona, pero si los combinas con otros datos (como registros de un proveedor de internet, bases de datos de vehículos), puedes llegar a identificarla.

La importancia de esta distinción es que la Ley 19628 protege ambos tipos de datos. No necesitas tener el nombre completo y el RUT para que una información sea considerada dato personal. Si tienes información que, razonablemente, puede ser usada para identificar a alguien, incluso indirectamente, está protegida por la ley. Esto amplía el alcance de la protección de datos a situaciones donde no se tienen identificadores directos, pero la identidad puede ser inferida.

13. He oído hablar de «datos personales sensibles». ¿Qué los hace «sensibles»? ¿Cuáles son ejemplos comunes y cómo se protegen de forma especial?

Los «datos personales sensibles» son aquellos que la ley considera especialmente delicados porque revelan información muy íntima y personal de las personas, y cuyo mal uso o discriminación podría tener consecuencias graves. La ley les da una protección reforzada. Se definen como datos que se refieren a:

• Características físicas o morales de las personas: Origen étnico o racial, características físicas particulares.
• Hechos o circunstancias de su vida privada o intimidad: Vida sexual, orientación sexual, identidad de género, creencias religiosas, filosóficas o morales, afiliación política, sindical o gremial, situación socioeconómica, datos de salud, perfil biológico humano, datos biométricos.

Ejemplos comunes de datos personales sensibles:

• Información médica: Historial clínico, diagnósticos, tratamientos, resultados de exámenes.
• Creencias religiosas: Religión que profesa una persona, participación en actividades religiosas.
• Orientación sexual: Atracción sexual de una persona, relaciones sentimentales con personas del mismo o diferente sexo.
• Opiniones políticas: Afiliación a partidos políticos, participación en manifestaciones, votaciones.
• Datos biométricos: Huella digital, reconocimiento facial, escaneo de iris (que pueden revelar información genética o de salud).

Protección especial de datos sensibles:

• Consentimiento Expreso y Específico: Generalmente, se requiere el consentimiento explícito, previo, informado y específico del titular para tratar datos sensibles. El consentimiento tácito o implícito no suele ser suficiente.
• Finalidades Legítimas y Proporcionadas: El tratamiento debe tener una finalidad muy clara y legítima, y ser estrictamente necesario y proporcionado a esa finalidad.
• Medidas de Seguridad Reforzadas: Se deben implementar medidas de seguridad más estrictas para proteger estos datos contra accesos no autorizados, filtraciones o usos indebidos.
• Limitaciones a la Cesión: La cesión o comunicación de datos sensibles a terceros está aún más restringida y generalmente requiere consentimiento explícito, salvo excepciones legales muy específicas.

En resumen, la ley trata los datos sensibles con mucho cuidado, reconociendo su naturaleza intrínsecamente privada y el potencial daño que podría causar su mal manejo.

14. ¿Quién es considerado el «responsable de datos» según la Ley 19628? ¿Es siempre la empresa o puede ser otra persona?

El «responsable de datos» es una figura central en la Ley 19628. Es la persona natural o jurídica que toma las decisiones clave sobre el tratamiento de datos personales. La ley lo define como quien «decide acerca de los fines y medios del tratamiento de datos personales». En palabras sencillas, es quien manda en el tratamiento de los datos.

Generalmente, el responsable de datos es la organización (empresa, institución, etc.) que recolecta y usa los datos para sus propios fines. Por ejemplo:

• Si una tienda online recolecta datos de clientes para vender productos y enviar promociones, la tienda online es el responsable de datos.
• Si un hospital recolecta datos de pacientes para fines médicos, el hospital es el responsable de datos.
• Si una universidad recolecta datos de alumnos para fines académicos y administrativos, la universidad es el responsable de datos.

Sin embargo, el responsable no siempre es la entidad completa. Puede ser una persona específica dentro de la organización que tiene la autoridad para tomar decisiones sobre el tratamiento de datos. Por ejemplo, el gerente de marketing, el jefe de recursos humanos, o el encargado de seguridad de la información. La ley se enfoca en quién tiene el poder real de decisión, más que en el nombre formal de la entidad.

Es importante identificar claramente quién es el responsable de datos en cada organización, ya que es a él a quien la ley exige el cumplimiento de las obligaciones y a quien los titulares de datos pueden dirigir sus solicitudes y reclamos.

15. ¿Quién es el «titular de datos»? ¿Soy yo el titular de mis propios datos personales?

El «titular de datos» es la persona natural a quien corresponden los datos personales. En términos sencillos, eres tú. Si hablamos de tus datos personales, tú eres el titular de esos datos.

La ley reconoce que tú eres el dueño de tu información personal y, por lo tanto, te otorga una serie de derechos para controlar cómo se usan tus datos. Como titular de datos, tienes:

• Derechos fundamentales (acceso, rectificación, supresión, oposición, portabilidad, bloqueo).
• Derecho a ser informado sobre cómo se tratan tus datos.
• Derecho a dar o revocar tu consentimiento para el tratamiento (en muchos casos).
• Derecho a reclamar ante la Agencia de Protección de Datos si crees que tus derechos han sido vulnerados.

En resumen, tú eres el centro de la protección de datos. La Ley 19628 está diseñada para proteger tus derechos como titular de datos y darte herramientas para controlar tu información personal.

16. ¿Qué es el «derecho de acceso» del titular de datos? ¿Qué información puedo obtener y cómo lo solicito?

El «derecho de acceso» te da la **llave para saber qué información personal tienen las organizaciones sobre ti**. Es tu derecho a **preguntar y obtener confirmación** de si una empresa o entidad está utilizando tus datos personales. Si es así, tienes derecho a **ver esos datos** y a **recibir información clave sobre cómo los están tratando**. En resumen, con el derecho de acceso puedes:

• Confirmar si te están tratando datos: Averiguar si una organización tiene información personal tuya.
• Ver tus datos: Obtener una copia de los datos personales que tienen almacenados.
• Informarte sobre el tratamiento: Conocer detalles importantes como:
  • ¿Qué datos tienen exactamente?
  • ¿De dónde obtuvieron mis datos?
  • ¿Para qué están usando mis datos?
  • ¿A quién comparten mis datos?
  • ¿Cuánto tiempo guardarán mis datos?
  • ¿Si toman decisiones automáticas sobre mí? (ej. perfiles)

¿Cómo solicitar el derecho de acceso?

1. Escribe una solicitud: Redacta una carta o correo electrónico dirigido a la organización que trata tus datos (el «responsable de datos»).
2. Identifícate: Incluye tu nombre completo, RUT y datos de contacto para que te puedan responder.
3. Especifica tu solicitud: Indica claramente que quieres ejercer tu «derecho de acceso» a tus datos personales.
4. Envía tu solicitud: Puedes enviarla por correo postal, correo electrónico, o a través de un formulario online si lo ofrecen.
5. Espera la respuesta: La organización tiene un máximo de 30 días para responderte. Deben entregarte la información de forma gratuita al menos una vez cada tres meses.

El derecho de acceso es tu herramienta principal para la transparencia y para asegurarte de que sabes qué información manejan sobre ti y cómo la utilizan.

17. ¿Qué es el «derecho de rectificación» de datos personales? ¿Cuándo y cómo puedo corregir información incorrecta?

El «derecho de rectificación» te permite **corregir errores o actualizar información personal que una organización tiene sobre ti**. Si encuentras que tus datos son inexactos, incompletos, desactualizados o que llevan a confusión, tienes derecho a pedir que los **modifiquen**. Puedes usar este derecho para corregir datos como:

• Errores en tu nombre: Si tu nombre está mal escrito en sus registros.
• Dirección desactualizada: Si tienen tu domicilio antiguo.
• Información incompleta: Si falta algún dato importante, como tu estado civil actualizado.
• Datos que ya no son correctos: Si tu profesión actual es diferente a la que tienen registrada.

¿Cuándo solicitar la rectificación?

1. Cuando detectes errores o información desactualizada sobre ti en los registros de una organización.

¿Cómo solicitar la rectificación?

1. Escribe una solicitud: Redacta una carta o correo electrónico al «responsable de datos» (la organización).
2. Identifícate: Incluye tu nombre completo, RUT y datos de contacto.
3. Especifica los datos a rectificar: Indica claramente qué información quieres corregir y cuál es la versión correcta.
4. Justifica tu solicitud: Explica por qué crees que la información actual es incorrecta o incompleta.
5. Adjunta pruebas (opcional pero recomendable): Si tienes documentos que prueben la información correcta (ej. copia de tu cédula, certificado de domicilio), inclúyelos en tu solicitud.
6. Envía tu solicitud: Por correo postal o electrónico.
7. Espera la respuesta: La organización tiene 30 días para responderte si acepta o rechaza tu solicitud. Si aceptan, deben corregir la información y avisarte. Si rechazan, deben explicarte por qué.

El derecho de rectificación es esencial para asegurar que la información que las organizaciones tienen sobre ti sea precisa y refleje tu situación actual.

18. ¿Qué es el «derecho de supresión» o «cancelación» (también conocido como «derecho al olvido»)? ¿En qué situaciones puedo pedir que eliminen mis datos?

El «derecho de supresión», te da el poder de pedir que una organización elimine o borre tus datos personales de forma permanente. Es como decir: «¡Ya no quiero que tengan esta información sobre mí, bórrenla!».  Este no es un derecho absoluto a que borren tus datos por cualquier motivo. La ley establece situaciones específicas en las que puedes solicitar la supresión:

Causales para pedir la supresión de tus datos:

• Ya no son necesarios: Si los datos ya no son necesarios para el fin para el que fueron recogidos.
• Retiraste tu consentimiento: Si diste tu permiso para usar tus datos (consentimiento) y ahora te arrepientes y lo retiras.
• Te opones al uso: Si te opones a que usen tus datos para ciertas cosas (derecho de oposición) y no hay otra razón válida para que los sigan usando.
• Incumplimiento legal: Si la organización está obligada por ley a borrar tus datos.
• Datos ilícitos: Si recogieron o usaron tus datos de forma ilegal.
• Eres menor de edad: En ciertos casos, si diste tus datos siendo niño/a para servicios online.

Importante: Incluso si se da alguna de estas situaciones, la organización NO está obligada a borrar tus datos si necesita conservarlos por motivos justificados, como:

• Libertad de expresión e información: Para proteger la libertad de expresión de otros.
• Obligación legal: Para cumplir con alguna ley que les obligue a guardar los datos.
• Interés público: Por razones de salud pública, investigación científica, archivos históricos, etc.
• Defensa legal: Para defenderse ante demandas o reclamaciones.

¿Cómo solicitar la supresión o cancelación de tus datos?

1. Dirige una solicitud por escrito al responsable de datos, indicando que ejerces tu derecho de supresión.
2. Identifica claramente los datos que deseas suprimir y explica cuál de las causales de supresión se aplica a tu caso (por qué crees que deben borrar tus datos).
3. Acompaña los antecedentes o pruebas que sustenten tu solicitud, si es necesario (ej. copia de la revocación de consentimiento, pruebas de tratamiento ilícito, etc.).
4. El responsable debe responderte en un plazo máximo de 30 días desde que recibe tu solicitud, informándote si acepta o rechaza tu solicitud. Si la rechaza, debe justificar su decisión.
5. Si la supresión se realiza, el responsable debe eliminar los datos de forma segura y permanente de todos sus sistemas y registros.

El derecho de supresión te permite tener mayor control sobre tu huella digital y solicitar la eliminación de tu información personal cuando ya no exista una justificación válida para su tratamiento.

19. ¿Qué es el «derecho de oposición» y cuándo puedo oponerme a que usen mis datos?

El «derecho de oposición» te permite oponerte a que el responsable de datos realice un tratamiento específico o determinado de tus datos personales. A diferencia del derecho de supresión (que busca eliminar los datos por completo), el derecho de oposición busca detener un uso específico de tus datos, pero no necesariamente borrarlos.

Puedes ejercer el derecho de oposición en los siguientes casos:

Tratamiento basado en el «interés legítimo» del responsable:
La ley permite tratar datos sin consentimiento si se basa en el «interés legítimo» del responsable (ej. seguridad, prevención de fraude). Si un tratamiento se basa en este fundamento, tienes derecho a oponerte en cualquier momento. El responsable deberá dejar de tratar tus datos, salvo que demuestre «motivos legítimos imperiosos» para el tratamiento que prevalezcan sobre tus intereses, derechos y libertades, o que el tratamiento sea necesario para «formular, ejercer o defender reclamaciones». Esta es una **oposición «con causa justificada», donde debes argumentar por qué te opones.

Tratamiento para fines de «mercadotecnia o marketing directo»:
Si tus datos se están usando exclusivamente para enviarte publicidad directa o para perfilarte con fines de marketing, tienes derecho a oponerte en cualquier momento y sin necesidad de justificación. En este caso, la oposición es automática e incondicional. El responsable debe dejar de usar tus datos para marketing inmediatamente al recibir tu oposición.

Casos en los que NO procede la oposición:

La ley establece limitaciones al derecho de oposición en ciertos casos:

No procederá la oposición al tratamiento cuando éste se realice con fines de investigación científica o histórica o fines estadísticos, y siempre que fueran necesarios para el cumplimiento de una función pública o para el ejercicio de una actividad de interés público.

¿Cómo ejercer tu derecho de oposición?

1. Dirige una solicitud por escrito al responsable de datos, indicando que ejerces tu derecho de oposición.
2. Identifica claramente el tratamiento específico al que te opones y explica las razones de tu oposición, especialmente si se basa en el «interés legítimo» del responsable (en caso de marketing directo, no necesitas justificación).
3. Si te opones a un tratamiento basado en el «interés legítimo», fundamenta brevemente tu petición y, opcionalmente, acompaña antecedentes que la apoyen.
4. El responsable debe responderte en un plazo máximo de 30 días desde que recibe tu solicitud, informándote si acepta o rechaza tu oposición. Si la rechaza, debe justificar su decisión, especialmente si alega «motivos legítimos imperiosos».
5. Si te opones al marketing directo, el responsable debe cesar inmediatamente el tratamiento para esos fines.

El derecho de oposición te da la posibilidad de controlar ciertos usos específicos de tus datos personales, especialmente aquellos que consideras intrusivos o que no se ajustan a tus expectativas de privacidad.

20. ¿Qué implica el «derecho a la portabilidad de datos» y cómo me beneficia?

El «derecho a la portabilidad de datos» es un derecho relativamente nuevo, introducido con la Ley 21719, que te permite solicitar y recibir una copia de los datos personales que le conciernen, que haya facilitado al responsable, en un formato electrónico estructurado, genérico y de uso común, que permita ser operado por distintos sistemas, y a comunicarlos o transferirlos a otro responsable de datos. Es como decir: «¡Denme mis datos, me los llevo a otra parte!». Este derecho te beneficia al darte mayor control y flexibilidad sobre tus datos, permitiéndote:

• Cambiar fácilmente de proveedor de servicios:
  Si quieres cambiarte de una compañía telefónica a otra, de un banco a otro, o de una red social a otra, puedes solicitar a tu proveedor actual que te entregue tus datos portables, y luego entregárselos al nuevo proveedor para facilitar la migración.
• Reutilizar tus datos en otros servicios:
  Puedes usar los datos portables que recibas para ingresarlos en otros servicios o aplicaciones que te interesen, sin tener que volver a ingresar toda la información manualmente.
• Tener una copia de seguridad de tus datos:
  El derecho a la portabilidad te permite obtener una copia de respaldo de tus datos personales, para tenerla contigo y usarla como desees.
• Fomentar la competencia y la innovación:
  Al facilitar el cambio entre proveedores, se fomenta la competencia entre las empresas para ofrecer mejores servicios y condiciones, y se incentiva la innovación en el uso de datos.

Condiciones para ejercer el derecho a la portabilidad:

• El tratamiento se realice en forma automatizada, y
• El tratamiento esté basado en el consentimiento del titular o en un contrato.

¿Cómo ejercer tu derecho a la portabilidad?

1. Dirige una solicitud por escrito al responsable de datos, indicando que ejerces tu derecho a la portabilidad.
2. Identifica claramente los datos que deseas portar (de cuáles servicios o cuentas).
3. Especifica a qué otro responsable deseas transmitir los datos, si quieres que la transmisión sea directa de un responsable a otro (opcional).
4. El responsable debe responderte en un plazo máximo de 30 días desde que recibe tu solicitud, entregándote una copia de tus datos en un «formato electrónico estructurado, genérico y de uso común» (ej. CSV, JSON, XML) que permita ser interoperable con diferentes sistemas.
5. La portabilidad es gratuita al menos trimestralmente.
   Si solicitas portabilidad más seguido, el responsable podría cobrarte los costos directos, salvo excepciones.

El derecho de portabilidad te empodera como titular de datos, dándote mayor control sobre tu información y facilitando la movilidad entre servicios digitales.

21. ¿Qué es el «derecho de bloqueo» del tratamiento y cuándo me conviene solicitarlo?

El «derecho de bloqueo» te permite solicitar la suspensión temporal de cualquier operación de tratamiento de tus datos personales, mientras se resuelve alguna otra solicitud que hayas realizado, como una solicitud de rectificación, supresión u oposición. Es como pedir un «paréntesis» en el tratamiento de tus datos mientras se aclara algo. El bloqueo no implica que los datos sean borrados, sino que se detiene temporalmente su uso y procesamiento. Esto te conviene solicitarlo cuando has presentado una solicitud de rectificación, supresión u oposición, y quieres asegurarte de que el responsable no siga usando tus datos de forma cuestionable mientras se resuelve tu solicitud. El bloqueo es una **medida cautelar** para proteger tus derechos durante el proceso de resolución.

¿Cuándo es común solicitar el bloqueo?

1. Cuando has presentado una solicitud de rectificación, supresión u oposición al responsable de datos.
2. Cuando tienes motivos fundados para creer que el tratamiento de tus datos podría causarte un daño o perjuicio mientras se resuelve tu solicitud principal.

¿Cómo ejercer tu derecho de bloqueo?

1. Dirige una solicitud por escrito al responsable de datos, indicando que ejerces tu derecho de bloqueo y que está vinculado a tu solicitud previa de rectificación, supresión u oposición.
2. Funda tu solicitud de bloqueo, explicando por qué consideras necesario suspender temporalmente el tratamiento de tus datos mientras se resuelve la otra solicitud (ej. riesgo de daño, uso indebido, etc.).
3. El responsable debe responder a tu solicitud de bloqueo en un plazo muy breve: 2 días hábiles desde que la recibe.
4. El responsable deberá informarte si acepta o rechaza el bloqueo. Si lo rechaza, debe justificar su decisión.
5. Si el bloqueo se concede, el responsable debe suspender temporalmente cualquier operación de tratamiento de tus datos, excepto el almacenamiento (no puede seguir usando tus datos para los fines cuestionados, pero sí puede guardarlos).
6. El bloqueo se mantiene vigente mientras el responsable no resuelva tu solicitud principal de rectificación, supresión u oposición.

El derecho de bloqueo es una herramienta útil para proteger tus datos mientras se resuelven otras solicitudes, evitando que se sigan usando de forma potencialmente perjudicial durante ese tiempo.

22. ¿Qué es el «principio de licitud y lealtad» y cómo deben cumplirlo los responsables de datos?

El «principio de licitud y lealtad» es uno de los pilares fundamentales de la Ley 19628. Exige que todo tratamiento de datos personales se realice de forma legal (lícita) y justa (leal). En palabras sencillas, las organizaciones deben tratar tus datos de acuerdo a la ley y de forma honesta y transparente.

¿Qué implica «licitud»?

• Base legal válida: El tratamiento debe basarse en alguna de las «bases legales» permitidas por la ley, como el consentimiento del titular, una obligación legal, un contrato, o el interés legítimo del responsable. El responsable debe tener una justificación legal para tratar tus datos.
• Cumplimiento de otras leyes: El tratamiento debe realizarse respetando otras leyes relevantes, como las leyes de protección al consumidor, leyes laborales, etc. No basta con cumplir la Ley 19628 si se infringen otras normas.

¿Qué implica «lealtad»?

• Transparencia: El responsable debe ser transparente contigo sobre cómo trata tus datos, informándote de forma clara y accesible sobre sus políticas y prácticas de privacidad.
• Honestidad y buena fe: El tratamiento debe realizarse de forma honesta y de buena fe, sin engaños ni prácticas abusivas. No se permite recolectar datos con una finalidad declarada y usarlos para otra oculta.
• Respeto a tus expectativas razonables: El tratamiento debe ser coherente con tus expectativas razonables de privacidad, considerando el contexto de la recolección y uso de los datos. Por ejemplo, si das tu correo para recibir un boletín informativo, no esperarías que lo usen para enviarte publicidad masiva no relacionada.

¿Cómo deben cumplir los responsables el principio de confidencialidad?

• Implementar medidas de seguridad:
  Adoptar medidas técnicas y organizativas adecuadas para proteger los datos personales contra accesos no autorizados, filtraciones o divulgaciones indebidas (principio de seguridad, ver siguiente pregunta).
• Capacitar y concientizar al personal:
  Formar y sensibilizar a todos los empleados y colaboradores sobre la importancia del deber de secreto y las consecuencias de su incumplimiento.
• Establecer acuerdos de confidencialidad:
  Firmar acuerdos de confidencialidad con empleados, proveedores y terceros que tengan acceso a datos personales, reforzando la obligación legal.
• Control de acceso a la información:
  Implementar controles de acceso para limitar el acceso a los datos personales solo a las personas que realmente los necesitan para sus funciones.
• Sanciones internas:
  Establecer sanciones internas para los empleados que incumplan el deber de secreto.

El principio de licitud y lealtad es la base ética y jurídica de todo tratamiento de datos personales. Busca asegurar que las organizaciones no solo cumplan la ley formalmente, sino que también actúen de forma justa y respetuosa con la privacidad de las personas.

23. ¿En qué consiste el «principio de finalidad» y cómo afecta a la forma en que las empresas recolectan y usan mis datos?

El «principio de finalidad» establece que los datos personales deben ser recolectados con fines específicos, explícitos y lícitos, y que su tratamiento debe limitarse al cumplimiento de esos fines. En palabras sencillas, las organizaciones deben recolectar tus datos solo para propósitos claros y definidos de antemano, y usarlos solo para esos propósitos, y nada más. Es como decir: «Dime para qué quieres mis datos, y úsalos solo para eso».

¿Qué implica «fines específicos, explícitos y lícitos»?

• Específicos: Los fines deben ser claramente definidos y concretos, no vagos o genéricos. Por ejemplo, «enviar publicidad personalizada» es más específico que «mejorar nuestros servicios».
• Explícitos: Los fines deben ser comunicados de forma clara y comprensible a los titulares de datos, antes o en el momento de la recolección. No se permiten finalidades «ocultas» o no informadas.
• Lícitos: Los fines deben ser **legales y legítimos, no contrarios a la ley, la moral, el orden público o los derechos fundamentales. No se pueden recolectar datos para fines ilegales o discriminatorios.

¿Qué implica «limitación al cumplimiento de esos fines»?

• Uso restringido a la finalidad: Los datos personales solo pueden ser tratados para los fines que fueron informados y para los que se obtuvo el consentimiento (si era necesario). No se permite usar los datos para finalidades incompatibles o distintas a las originales, salvo excepciones muy limitadas (ver más abajo).
• Minimización de datos: Se deben recolectar solo los datos que sean estrictamente necesarios, adecuados y pertinentes para cumplir con los fines declarados. No se permite recolectar datos «por si acaso» o en exceso.
• Conservación limitada: Los datos personales pueden ser conservados sólo por el período de tiempo que sea necesario para cumplir con los fines del tratamiento, y luego deben ser suprimidos o anonimizados, sin perjuicio de las excepciones que establezca la ley. Un período de tiempo mayor requiere autorización legal o consentimiento del titular.

Excepciones a la limitación de finalidad:

La ley contempla algunas *excepciones muy específicas donde se permite tratar datos para finalidades distintas a las originales, sin requerir un nuevo consentimiento, cuando:

• El tratamiento sea para fines compatibles con los autorizados originalmente. La «compatibilidad» debe ser evaluada cuidadosamente, considerando la conexión entre las finalidades, el contexto, las expectativas de los titulares, etc. La ley da ejemplos como la reutilización de datos para investigación científica o histórica, siempre que se cumplan ciertas garantías.
• Exista una relación contractual o precontractual entre el titular y el responsable que justifique la nueva finalidad. Por ejemplo, si un cliente contrata un nuevo servicio y es necesario reutilizar datos ya recolectados para el servicio anterior, siempre que esté dentro del marco del contrato.
• El titular otorgue nuevamente su consentimiento para la nueva finalidad.
• Lo disponga la ley expresamente.

En resumen, el principio de finalidad busca evitar el «uso indiscriminado» de datos personales, asegurando que las organizaciones tengan propósitos claros y legítimos para recolectar tu información, y que la usen solo para esos fines, respetando tus expectativas de privacidad y evitando sorpresas desagradables sobre cómo se usan tus datos.

24. ¿Qué significa el «principio de proporcionalidad» y cómo se aplica tanto a la cantidad de datos que me piden como al tiempo que los guardan?

El «principio de proporcionalidad» es esencial para evitar la recolección y el uso excesivo de datos personales. Se manifiesta en dos dimensiones principales:

1. Proporcionalidad en la cantidad de datos (adecuación y pertinencia):

• Datos necesarios: Los responsables solo deben recolectar y tratar aquellos datos personales que sean estrictamente necesarios para cumplir con las finalidades informadas (principio de minimización de datos). No se permite recolectar datos «por si acaso» o datos que no tengan una relación directa con el propósito del tratamiento.
• Datos adecuados: Los datos recolectados deben ser apropiados y relevantes para la finalidad. No se deben solicitar datos que sean excesivos o irrelevantes para el propósito. Por ejemplo, para enviar un boletín informativo, no sería adecuado pedir información sobre la orientación sexual o las creencias religiosas de las personas.
• Datos pertinentes: Los datos deben ser pertinentes y útiles para alcanzar la finalidad buscada. Deben existir razones fundadas para recolectar cada categoría de datos.

En resumen, la cantidad de datos que te pidan debe ser la mínima e indispensable para lograr el objetivo legítimo que persigue la organización. Si te piden más datos de los realmente necesarios, se estaría infringiendo el principio de proporcionalidad.

2. Proporcionalidad en el tiempo de conservación (limitación del plazo de conservación):

• Conservación por tiempo limitado: Los datos personales solo pueden ser conservados durante el período de tiempo que sea estrictamente necesario para cumplir con los fines del tratamiento. Una vez cumplida la finalidad y transcurrido el plazo necesario, los datos deben ser suprimidos (eliminados) o anonimizados (transformados para que ya no puedan identificar a la persona).
• Plazo necesario: El «plazo necesario» dependerá de la finalidad del tratamiento, las obligaciones legales aplicables, y las expectativas razonables de los titulares. En algunos casos, el plazo puede ser corto (ej. datos para una promoción puntual), en otros más largo (ej. datos de clientes durante la relación comercial), y en algunos casos puede estar definido por ley (ej. plazos de prescripción legal).
• Justificación de plazos mayores: Si el responsable quiere conservar los datos por un período mayor al que podría considerarse «necesario», debe justificarlo adecuadamente, por ejemplo, por autorización legal, consentimiento del titular, o fines de archivo de interés público, investigación científica o histórica, o estadísticos (siempre con garantías adecuadas).

En resumen, el tiempo que guarden tus datos debe ser el mínimo indispensable para cumplir el propósito legítimo. Guardar datos «indefinidamente» o por plazos excesivamente largos, sin justificación, infringe el principio de proporcionalidad en el tiempo.

¿Cómo se aplica el principio de proporcionalidad en la práctica?

• Evaluación previa: Antes de recolectar o iniciar un tratamiento, el responsable debe evaluar cuidadosamente qué datos son realmente necesarios para la finalidad, y por cuánto tiempo es necesario conservarlos Debe evitar recolectar datos en exceso o conservarlos indefinidamente.
• Minimización de datos por defecto: Implementar medidas para asegurar que se recolecten y traten solo los datos mínimos necesarios en cada operación.
• Políticas de retención y eliminación de datos: Establecer políticas claras de cuánto tiempo se conservarán las diferentes categorías de datos, y procedimientos para suprimir o anonimizar los datos una vez cumplido el plazo.
• Transparencia: Informar a los titulares sobre qué datos se recolectan, para qué fines, y por cuánto tiempo se conservarán, para que puedan entender y evaluar la proporcionalidad del tratamiento.

El principio de proporcionalidad es clave para evitar la «voracidad de datos» y asegurar que las organizaciones solo traten la información personal que realmente necesitan, por el tiempo estrictamente necesario, respetando la privacidad y minimizando los riesgos para los titulares.

25. ¿Qué implica el «principio de responsabilidad» para las organizaciones que manejan datos personales? ¿De qué son responsables exactamente?

El «principio de responsabilidad», también llamado «accountability» en inglés, es un principio clave en la Ley 19628 actualizada (Ley 21719) que establece que los responsables de datos son legalmente responsables de cumplir con todos los principios, obligaciones y deberes establecidos en la ley, y deben ser capaces de demostrar ese cumplimiento. En palabras sencillas, las organizaciones no solo deben cumplir la ley, sino también ser capaces de probar que la están cumpliendo. Es como decir: «No basta con decir que cumples, ¡demuéstralo!».

¿De qué son responsables exactamente los responsables de datos?

Según el principio de responsabilidad, los responsables son responsables de:

• Cumplir con todos los principios de la Ley 19628: Licitud y lealtad, finalidad, proporcionalidad, calidad, seguridad, transparencia e información, confidencialidad.
• Cumplir con todos los derechos de los titulares de datos: Garantizar y facilitar el ejercicio efectivo de los derechos de acceso, rectificación, supresión, oposición, portabilidad y bloqueo.
• Cumplir con todos los demás deberes y obligaciones establecidos en la ley, sus reglamentos e instrucciones de la Agencia de Protección de Datos.

¿Qué implica «ser capaz de demostrar el cumplimiento»?

El principio de responsabilidad va más allá del simple cumplimiento formal de la ley. Exige que los responsables implementen medidas concretas y demostrables para asegurar y evidenciar el cumplimiento efectivo. Esto implica:

• Implementar medidas técnicas y organizativas apropiadas: Adoptar políticas, procedimientos, sistemas y controles internos que garanticen el cumplimiento de la ley en la práctica (ej. políticas de privacidad, procedimientos de atención de derechos, medidas de seguridad, etc.).
• Documentar el cumplimiento: Mantener registros y documentación que evidencien las medidas implementadas y el cumplimiento efectivo de la ley (ej. registros de consentimiento, evaluaciones de impacto, informes de seguridad, etc.).
• Ser proactivos y preventivos: No solo reaccionar ante problemas o reclamos, sino anticiparse a los riesgos y adoptar medidas preventivas para evitar incumplimientos desde el diseño de los tratamientos (privacidad desde el diseño y por defecto).
• Rendir cuentas y colaborar con la Agencia: Estar dispuestos a rendir cuentas ante la Agencia de Protección de Datos y a colaborar con sus fiscalizaciones e investigaciones**, demostrando el cumplimiento de la ley con evidencias y documentación.
• Designar un delegado de protección de datos (DPO) (opcional pero recomendado): Nombrar una persona responsable dentro de la organización para supervisar y promover el cumplimiento de la ley.
• Adoptar modelos de prevención de infracciones y programas de cumplimiento (voluntario): Implementar programas formales para prevenir infracciones y promover una cultura de cumplimiento dentro de la organización.
• Certificar modelos de prevención (voluntario): Obtener una certificación de la Agencia que acredite que la organización ha implementado un modelo de prevención adecuado.

Consecuencias del incumplimiento del principio de responsabilidad:

• Sanciones administrativas: La Agencia puede imponer multas y otras sanciones por incumplimiento de la ley. El principio de responsabilidad refuerza la posibilidad de que se impongan sanciones efectivas.
• Responsabilidad civil: Los responsables pueden ser demandados por los titulares de datos por daños y perjuicios causados por el incumplimiento de la ley. El principio de responsabilidad facilita la exigencia de responsabilidades.
• Daño reputacional: El incumplimiento de la ley y la falta de «accountability» pueden generar un grave daño a la reputación y la confianza de los clientes y la sociedad en general.

El principio de responsabilidad marca un cambio importante en la Ley 19628 actualizada. Ya no basta con cumplir la ley «en el papel», sino que las organizaciones deben demostrar un compromiso real y efectivo con la protección de datos, implementando medidas concretas y siendo capaces de rendir cuentas por sus acciones. Busca promover una cultura de privacidad y un enfoque proactivo en la protección de datos personales en las organizaciones.

26. ¿Qué implica el «principio de transparencia e información» y qué tipo de información me deben entregar los responsables de datos?

El «principio de transparencia e información» establece que los responsables de datos deben ser transparentes y abiertos con los titulares de datos, entregándoles toda la información necesaria para que puedan entender cómo se tratan sus datos y ejercer sus derechos. En palabras sencillas, las organizaciones deben ser claras, honestas y accesibles sobre sus prácticas de privacidad. Es como decir: «¡Dime todo lo que necesito saber sobre cómo usas mis datos, de forma fácil de entender!».

¿Qué tipo de información deben entregar los responsables a los titulares de datos?

La ley detalla una lista extensa de información que los responsables deben poner a disposición de los titulares, de forma permanente, accesible, precisa, clara, inequívoca y gratuita, a través de su sitio web u otros medios equivalentes:

• La política de tratamiento de datos personales que haya adoptado, la fecha y versión de la misma.
• La individualización del responsable de datos y su representante legal y la identificación del encargado de prevención, si existiere.
• El domicilio postal, la dirección de correo electrónico, el formulario de contacto o la identificación del medio tecnológico equivalente de uso común y fácil acceso mediante el cual se le notifican las solicitudes que realicen los titulares.
• Las categorías, clases o tipos de datos que trata; la descripción genérica del universo de personas que comprenden sus bases de datos; los destinatarios a los que se prevé comunicar o ceder los datos; las finalidades de los tratamientos que realiza; la base de legitimidad del tratamiento; y en caso de tratamientos que se basan en la satisfacción de intereses legítimos, cuáles serían éstos.
• La política y las medidas de seguridad adoptadas para proteger las bases de datos personales que administra.
• El derecho que le asiste al titular para solicitar ante el responsable, acceso, rectificación, supresión, oposición y portabilidad de sus datos personales, de conformidad a la ley.
• El derecho que le asiste al titular de recurrir ante la Agencia, en caso de que el responsable rechace o no responda oportunamente las solicitudes que le formule.
• En su caso, la transferencia de datos personales a un tercer país u organización internacional y si éstos ofrecen o no un nivel adecuado de protección. En caso de que no cuenten con un nivel adecuado de protección, se deberá informar si existen garantías que justifiquen tal transferencia.
• El periodo durante el que se conservarán los datos personales.
• La fuente de la cual provienen los datos personales y, en su caso, si proceden de fuentes de acceso público.
• Cuando el tratamiento está basado en el consentimiento del titular, la existencia del derecho a retirarlo en cualquier momento, sin que ello afecte a la licitud del tratamiento basado en el consentimiento previo a su retirada.
• La existencia de decisiones automatizadas, incluida la elaboración de perfiles. En tales casos, información significativa sobre la lógica aplicada, así como las consecuencias previstas de dicho tratamiento para el titular.

¿Cómo deben entregar esta información los responsables?

• Forma accesible y comprensible:
  La información debe ser presentada de forma clara, sencilla, concisa, transparente, inteligible y fácilmente accesible, utilizando un lenguaje llano y evitando jerga legal o técnica innecesaria.
• Medios apropiados:
  La información debe estar permanentemente disponible en el sitio web del responsable, o en otros medios de información equivalentes (ej. aplicaciones móviles, oficinas de atención al cliente, etc.).
• Gratuidad:
  El acceso a la información debe ser gratuito para los titulares.
• Proactividad:
  Los responsables no deben esperar a que los titulares pregunten, sino poner activamente la información a su disposición, desde el inicio de la recolección de datos y durante todo el tratamiento.
• Actualización:
  La información debe ser mantenida actualizada y reflejar las prácticas de privacidad vigentes del responsable.

El principio de transparencia e información busca empoderar a los titulares de datos, dándoles el conocimiento necesario para entender cómo se usan sus datos, tomar decisiones informadas sobre su privacidad, y ejercer sus derechos de forma efectiva. Busca romper la «asimetría de información» entre las organizaciones y los individuos, y construir relaciones de confianza basadas en la transparencia.

27. ¿Qué es el «principio de confidencialidad» y cómo se relaciona con el «deber de secreto profesional»?

El «principio de confidencialidad», también llamado «deber de secreto» en la Ley 19628, establece que los responsables de datos y quienes tengan acceso a datos personales deberán guardar secreto o confidencialidad acerca de los mismos. En palabras sencillas, las organizaciones y sus empleados deben mantener la información personal en secreto y no divulgarla sin justificación.

¿Qué implica el «deber de secreto o confidencialidad»?

• Obligación de secreto:
  El responsable de datos y todas las personas que intervienen en el tratamiento (empleados, colaboradores, encargados de tratamiento, etc.) están legalmente obligados a mantener el secreto sobre los datos personales a los que acceden.
• No divulgación no autorizada:
  Prohibición de comunicar o revelar los datos personales a terceros que no estén autorizados por la ley o por el titular, o de usarlos para fines distintos de los autorizados.
• Extensión del deber en el tiempo:
  El deber de secreto subsiste incluso después de que termine la relación entre el titular y el responsable, o entre el empleado y la organización. El secreto es perpetuo.
• Protección de datos obtenidos de fuentes públicas:
  Incluso si los datos personales se obtienen de fuentes de acceso público (registros públicos, diarios oficiales, etc.), el responsable tiene el deber de secreto sobre los datos que resulten de alguna acción de tratamiento que realice sobre esos datos (ej. organizarlos, clasificarlos, combinarlos, etc.). La acción de tratamiento genera un nuevo «secreto» sobre el conjunto resultante de datos.
• Excepción: Datos manifiestamente públicos por el titular:
  El deber de secreto no aplica si el propio titular ha hecho manifiestamente públicos sus datos personales (ej. publicándolos en redes sociales de forma abierta, divulgándolos públicamente en medios de comunicación, etc.). En ese caso, ya no existe una «expectativa razonable de privacidad» sobre esos datos.

Relación con el «secreto profesional»:

El «deber de secreto o confidencialidad» de la Ley 19628 se relaciona con el concepto más amplio de «secreto profesional»que existe en diversas profesiones (médicos, abogados, periodistas, etc.). Ambos buscan proteger la información confidencial de las personas y fomentar la confianza en las relaciones profesionales. Sin embargo, el deber de secreto de la Ley 19628 es más general y amplio, aplicándose a cualquier persona que trate datos personales, no solo a ciertas profesiones.

¿Cómo deben cumplir los responsables el principio de confidencialidad?

• Implementar medidas de seguridad:
  Adoptar medidas técnicas y organizativas adecuadas para proteger los datos personales contra accesos no autorizados, filtraciones o divulgaciones indebidas (principio de seguridad, ver siguiente pregunta).
• Capacitar y concientizar al personal:
  Formar y sensibilizar a todos los empleados y colaboradores sobre la importancia del deber de secreto y las consecuencias de su incumplimiento.
• Establecer acuerdos de confidencialidad:
  Firmar acuerdos de confidencialidad con empleados, proveedores y terceros que tengan acceso a datos personales, reforzando la obligación legal.
• Control de acceso a la información:
  Implementar controles de acceso para limitar el acceso a los datos personales solo a las personas que realmente los necesitan para sus funciones.
• Sanciones internas:
  Establecer sanciones internas para los empleados que incumplan el deber de secreto.

El principio de confidencialidad es esencial para proteger la intimidad de las personas y fomentar la confianza en las organizaciones que manejan sus datos personales. Busca asegurar que la información personal se mantenga en privado y solo se use para los fines autorizados, evitando su divulgación o uso indebido.

28. ¿Cómo se protegen específicamente los «datos personales sensibles» bajo la Ley 19628? ¿Qué requisitos adicionales existen para su tratamiento?

Los «datos personales sensibles», debido a su naturaleza intrínsecamente privada y al riesgo de discriminación o daño que podría causar su mal uso, reciben una protección reforzada bajo la Ley 19628. El tratamiento de datos sensibles está sujeto a requisitos adicionales y más estrictos que el tratamiento de datos personales «ordinarios»:

1. Consentimiento Expreso y Específico (Regla General):

Como regla general, el tratamiento de datos personales sensibles solo puede realizarse con el consentimiento expreso del titular. Este consentimiento debe ser:

• Expreso:
  Manifestado de forma explícita y afirmativa.
• Previo:
  Otorgado antes de iniciar el tratamiento de los datos sensibles.
• Informado:
  El titular debe recibir información clara y completa sobre los fines específicos del tratamiento de datos sensibles, las categorías de datos que se tratarán, los destinatarios, los derechos que le asisten, etc. (principio de transparencia e información).
• Específico:
  El consentimiento debe ser específico para cada finalidad del tratamiento de datos sensibles. No se permiten consentimientos genéricos o amplios.
• Libre:
  El consentimiento debe ser otorgado voluntariamente, sin coacciones, engaños o presiones indebidas.

2. Excepciones al Requisito de Consentimiento (Casos Limitados):

La ley contempla excepciones muy limitadas donde se permite el tratamiento de datos sensibles sin el consentimiento expreso del titular, en situaciones específicas y justificadas:

• Datos manifiestamente públicos por el titular:
  Si el propio titular ha hecho públicos sus datos sensibles, y el tratamiento se relaciona con la finalidad para la que los publicó. Esta excepción es interpretada de forma restrictiva.
• Interés legítimo de entidades sin fines de lucro (políticas, filosóficas, religiosas, etc.):
  Cuando el tratamiento es realizado por una persona jurídica sin fines de lucro (con fines políticos, filosóficos, religiosos, culturales, sindicales o gremiales), se refiere exclusivamente a sus miembros o afiliados, tiene como objeto cumplir las finalidades específicas de la institución, se otorgan garantías adecuadas para evitar filtraciones o usos no autorizados, y los datos no se comunican a terceros. Esta excepción es muy específica y sujeta a estrictas condiciones.
• Salvaguardar la vida o integridad del titular o de terceros:
  Cuando el tratamiento es indispensable para proteger la vida, salud o integridad física o psíquica del titular o de otra persona, o cuando el titular está física o jurídicamente impedido de otorgar su consentimiento (ej. emergencia médica, persona inconsciente). En estos casos, el tratamiento debe ser estrictamente necesario y limitado a la finalidad de protección de la vida o integridad. Una vez superada la emergencia o el impedimento, se debe informar detalladamente al titular sobre el tratamiento realizado.
• Formulación, ejercicio o defensa de un derecho ante tribunales o autoridades administrativas:
  Cuando el tratamiento es necesario para un proceso judicial o administrativo, por ejemplo, para presentar pruebas o defenderse legalmente.
• Ejercicio de derechos y cumplimiento de obligaciones laborales o de seguridad social:
  Cuando el tratamiento es necesario en el ámbito laboral o de seguridad social, y se realice en el marco de la ley (ej. exámenes médicos laborales, control de ausentismo laboral, etc.).
• Autorización o mandato legal expreso:
  Cuando una ley autoriza o manda expresamente el tratamiento de datos sensibles para una finalidad específica.

Estas excepciones son interpretadas de forma restrictiva y deben aplicarse solo cuando sea estrictamente necesario y justificado, cumpliendo con los demás principios de la ley (finalidad, proporcionalidad, seguridad, etc.) y otorgando garantías adecuadas para proteger los derechos de los titulares.

3. Medidas de Seguridad Reforzadas:

El tratamiento de datos sensibles exige la implementación de medidas de seguridad técnicas y organizativas especialmente reforzadas, atendiendo al alto riesgo que implica esta categoría de datos. Estas medidas deben ser acordes con la naturaleza de los datos sensibles, el contexto del tratamiento, y el estado de la técnica. Pueden incluir, por ejemplo:

• Cifrado robusto de datos sensibles en reposo y en tránsito.
• Controles de acceso muy estrictos y segmentados, limitando el acceso solo a personal estrictamente necesario y autorizado.
• Autenticación fuerte y multifactor para acceso a sistemas que contienen datos sensibles.
• Segregación lógica de bases de datos de datos sensibles del resto de sistemas de información.
• Auditorías de seguridad frecuentes y específicas sobre los tratamientos de datos sensibles.
• Evaluaciones de impacto en la protección de datos (EIPD) obligatorias para tratamientos de alto riesgo, que incluyan el tratamiento de datos sensibles.
• Designación de un delegado de protección de datos (DPO) (recomendado) para supervisar el cumplimiento de las normas de protección de datos sensibles.

4. Mayor Transparencia e Información:

Los responsables de datos deben ser especialmente transparentes con los titulares sobre el tratamiento de sus datos sensibles, informándoles de forma aún más clara y detallada sobre las finalidades, bases legales, medidas de seguridad, derechos, etc. La información debe ser fácilmente comprensible y accesible para los titulares, y se recomienda utilizar mecanismos de información «en capas» para facilitar la comprensión de la información más relevante.

29. ¿Qué consideraciones especiales existen para el tratamiento de datos personales de niños, niñas y adolescentes bajo la Ley 19628? ¿Necesito el consentimiento de sus padres?

La Ley 19628, con las modificaciones de la Ley 21719, establece consideraciones especiales para el tratamiento de datos personales de niños, niñas y adolescentes (NNA), reconociendo su vulnerabilidad y la necesidad de una protección reforzada. El principio rector en este ámbito es el «interés superior del niño», que debe primar en cualquier tratamiento de datos de NNA.

1. Consentimiento de Padres o Representantes Legales (Regla General para Niños):

Como regla general para tratar datos personales de «niños» (menores de 14 años según la ley chilena), se requiere el consentimiento otorgado por sus padres, representantes legales o quien tenga su cuidado personal. El consentimiento del niño por sí solo no es suficiente, salvo que la ley expresamente lo autorice o mandate. El consentimiento de los padres debe ser:

• Informado: Los padres deben recibir información clara y completa sobre el tratamiento de datos del niño.
• Específico: El consentimiento debe ser específico para cada finalidad del tratamiento.
• Verificable: El responsable debe implementar mecanismos para verificar que el consentimiento ha sido otorgado válidamente por los padres o representantes legales, y no solo por el niño.

30. ¿Cómo se regulan específicamente los «datos biométricos» (huella digital, reconocimiento facial, etc.) bajo la Ley 19628? ¿Qué precauciones debo tener al usarlos?

Los «datos biométricos», como la huella digital, el reconocimiento facial, el escaneo de iris, la voz, etc., son considerados una categoría especial dentro de los datos personales sensibles y reciben una regulación aún más estricta bajo la Ley 19628, dada su naturaleza única, permanente e íntimamente ligada a la identidad de la persona. La ley define los datos biométricos como aquellos «obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona que permitan o confirmen la identificación única de ella».

Restricciones al Tratamiento de Datos Biométricos:

Consentimiento Expreso y Específico (Regla General):
Como regla general, el tratamiento de datos biométricos **solo se permite con el consentimiento expreso del titular**, cumpliendo con los mismos requisitos que para los datos sensibles (expreso, previo, informado, específico, libre). El consentimiento para datos biométricos debe ser **aún más específico y consciente**, dada la naturaleza delicada de estos datos.

Finalidades Muy Limitadas y Justificadas:
El tratamiento de datos biométricos debe tener **finalidades muy específicas, legítimas y justificadas**, y ser **estrictamente necesario y proporcional** para esas finalidades. Se debe evitar el uso indiscriminado o generalizado de datos biométricos. Las finalidades deben ser **claramente informadas al titular** de forma transparente y comprensible.

Información Específica Adicional al Titular:
Además de la información general sobre el tratamiento de datos personales (principio de transparencia), el responsable que trate datos biométricos debe **proporcionar al titular la siguiente información específica**:

• Identificación del sistema biométrico usado:
  Qué tecnología biométrica se utiliza (ej. reconocimiento facial, huella digital, etc.).
• Finalidad específica del uso del sistema biométrico:
  Para qué se usarán exactamente los datos biométricos recolectados por el sistema (ej. control de acceso, identificación, etc.).
• Período durante el cual se usarán los datos biométricos:
  Cuánto tiempo se conservarán y usarán los datos biométricos.
• Forma en que el titular puede ejercer sus derechos (especialmente el derecho de acceso y supresión) sobre sus datos biométricos.

Casos Excepcionales sin Consentimiento (Muy Restringidos):
La ley no contempla excepciones generales al requisito de consentimiento para el tratamiento de datos biométricos, salvo casos muy específicos y justificados que podrían caer dentro de las excepciones generales para datos sensibles (ej. salvaguardar la vida, defensa de un derecho ante tribunales, mandato legal expreso). Sin embargo, estas excepciones deben ser interpretadas de forma aún más restrictiva en el caso de datos biométricos, dada su alta sensibilidad.

Prohibición en Ámbitos Específicos:
La ley prohíbe expresamente el tratamiento y la cesión de los datos relativos a la salud y al perfil biológico de un titular y las muestras biológicas asociadas a una persona identificada o identificable, incluido el almacenamiento del material biológico, cuando los datos o muestras han sido recolectados en ámbitos laborales, educativos, deportivos, sociales, de seguros, de seguridad o identificación, salvo que la ley expresamente autorice su tratamiento en casos calificados y se refiera a alguno de los casos mencionados en este artículo. Esta prohibición busca evitar el uso indiscriminado y potencialmente discriminatorio de datos biométricos y genéticos en contextos sensibles.

Precauciones al Usar Datos Biométricos:

Si tu organización planea usar datos biométricos, debes tomar precauciones especiales para asegurar el cumplimiento de la Ley 19628 y proteger los derechos de los titulares:

• Realizar una Evaluación de Impacto en la Protección de Datos (EIPD):
  Es altamente recomendable realizar una EIPD antes de implementar sistemas biométricos, dado el alto riesgo que implica el tratamiento de estos datos. La EIPD debe evaluar la necesidad y proporcionalidad del uso de datos biométricos, los riesgos para los titulares, y las medidas de seguridad implementadas.
• Implementar Medidas de Seguridad Máximas:
  Adoptar medidas de seguridad técnicas y organizativas del más alto nivel para proteger los datos biométricos contra accesos no autorizados, usos indebidos, discriminación, o robo de identidad. Considerar el uso de tecnologías de mejora de la privacidad (PETs) como el cifrado homomórfico o la computación multipartita segura, si es posible y apropiado.
• Ser Excepcionalmente Transparente:
  Ser extremadamente transparente con los titulares sobre el uso de datos biométricos, informándoles de forma clara, completa y accesible sobre todos los aspectos relevantes del tratamiento, incluyendo los riesgos y las salvaguardas implementadas. Ofrecer mecanismos sencillos para que los titulares puedan ejercer sus derechos, especialmente el derecho de acceso y supresión de sus datos biométricos.
• Limitar al Máximo la Recolección y Conservación:
  Recolectar solo los datos biométricos estrictamente necesarios para la finalidad específica, y conservarlos por el menor tiempo posible. Implementar políticas de retención y eliminación de datos biométricos muy estrictas.
• Considerar Alternativas Menos Intrusivas:
  Evaluar si existen alternativas menos intrusivas al uso de datos biométricos que puedan lograr la misma finalidad, protegiendo mejor la privacidad de los titulares. El uso de datos biométricos debe ser la última opción, cuando no existan alternativas viables menos invasivas.
• Consultar con Expertos en Privacidad y Ética:
  Buscar asesoramiento de expertos en privacidad, protección de datos y ética antes de implementar sistemas biométricos, para asegurar un enfoque responsable y respetuoso de los derechos de los titulares.

En conclusión, el tratamiento de datos biométricos en Chile está fuertemente regulado y restringido por la Ley 19628, dada su alta sensibilidad. Su uso debe ser excepcional, justificado, proporcional, transparente, seguro y basado en el consentimiento expreso del titular, cumpliendo con los más altos estándares de protección de datos personales. Las organizaciones deben ser extremadamente cautelosas y responsables al usar datos biométricos, y priorizar siempre la privacidad y los derechos de los titulares.

31. ¿Qué reglas existen para la «transferencia internacional de datos personales» según la Ley 19628? ¿Puedo enviar datos personales de Chile a cualquier país?

La «transferencia internacional de datos personales» se refiere al envío o transmisión de datos personales fuera del territorio nacional chileno, a un destinatario ubicado en otro país, ya sea otra organización, una persona individual, o incluso a servidores o infraestructura tecnológica ubicados en el extranjero. La Ley 19628, con las modificaciones de la Ley 21719, regula estrictamente las transferencias internacionales, buscando asegurar que los datos personales chilenos sigan estando protegidos incluso si cruzan fronteras. No se puede enviar datos personales de Chile a cualquier país sin más.La ley establece requisitos y limitaciones para las transferencias internacionales:

1. Regla General: Autorización si el País Destinatario Ofrece un Nivel Adecuado de Protección:

Como regla general, la transferencia internacional de datos personales **solo se permite si se realiza a un país que ofrezca un «nivel adecuado de protección de datos personales»**. Esto significa que el ordenamiento jurídico del país destinatario debe contar con estándares de protección de datos **similares o superiores a los de la Ley 19628 chilena**.

Determinación de «Países Adecuados»:
La Agencia de Protección de Datos Personales es la encargada de determinar fundadamente qué países se consideran que ofrecen un nivel adecuado de protección. Para ello, la Agencia debe considerar:

• Principios que rigen el tratamiento de datos personales en el país destinatario.
• Existencia de normas que reconozcan y garanticen los derechos de los titulares de datos.
• Existencia de una autoridad pública de control o tutela en materia de protección de datos.
• Imposición de obligaciones de información y seguridad a los responsables de datos.
• Determinación de responsabilidades en caso de infracciones.

2. Excepciones a la Regla General (Transferencias con «Garantías Adecuadas» o «Situaciones Específicas»):

En ausencia de una decisión de adecuación (es decir, si el país destinatario no se considera que ofrece un nivel adecuado de protección), la ley permite realizar transferencias internacionales específicas y no habituales en situaciones excepcionales, si se cumplen «garantías adecuadas» o se configuran «situaciones específicas»:

Transferencias con «Garantías Adecuadas»:
Se permiten si el responsable y el destinatario de los datos implementan «garantías adecuadas» para proteger los datos transferidos. Estas garantías pueden ser:

• Cláusulas contractuales tipo:
  Cláusulas contractuales preaprobadas por la Agencia que establecen obligaciones de protección de datos para el exportador e importador de datos.
• Normas corporativas vinculantes (BCR):
  Políticas internas de protección de datos de grupos empresariales multinacionales, aprobadas por la Agencia, que se aplican a las transferencias intragrupo.
• Otros instrumentos jurídicos:
  Otros mecanismos que la Agencia considere que ofrecen garantías adecuadas, como códigos de conducta, mecanismos de certificación, etc.
• Requisitos de las «Garantías Adecuadas»:
  Las garantías deben asegurar que se respeten principios, derechos y garantías similares o superiores a los de la Ley 19628, y que se otorguen derechos exigibles y acciones legales efectivas a los titulares de datos en el país destinatario.

Transferencias en «Situaciones Específicas»:
En ausencia de decisión de adecuación o garantías adecuadas, se permiten transferencias internacionales específicas y no habituales en situaciones muy limitadas y justificadas:

• Consentimiento expreso del titular para la transferencia específica.
• Transferencias bancarias, financieras o bursátiles específicas y que se realicen conforme a las leyes que regulan estas transferencias.
• Transferencias necesarias para dar cumplimiento a obligaciones adquiridas en tratados o convenios internacionales ratificados por Chile.
• Transferencias necesarias por aplicación de convenios de cooperación, intercambio de información o supervisión que hayan sido suscritos por órganos públicos para el cumplimiento de sus funciones y en el ejercicio de sus competencias.
• Transferencia de datos personales realizada por una persona natural o jurídica, pública o privada, haya sido autorizada expresamente por la ley y para una finalidad determinada.
• Cuando la transferencia sea efectuada con el objeto de prestar o solicitar colaboración judicial internacional.
• Cuando la transferencia sea necesaria para la celebración o ejecución de un contrato entre el titular y el responsable, o para la ejecución de medidas precontractuales adoptadas a solicitud del titular.
• Cuando sea necesario adoptar medidas urgentes en materia médica o sanitaria, para la prevención o diagnóstico de enfermedades, para tratamientos médicos o para la gestión de servicios sanitarios o de salud.

3. Prohibiciones de Transferencias Internacionales:

La ley prohíbe las transferencias internacionales de datos personales que no cumplan con los requisitos establecidos (decisión de adecuación, garantías adecuadas, situaciones específicas). Las transferencias ilegales pueden ser sancionadas por la Agencia.

4. Rol de la Agencia de Protección de Datos:

La Agencia de Protección de Datos Personales tiene un rol central en la regulación de las transferencias internacionales:

• Determina qué países ofrecen un nivel adecuado de protección.
• Aprueba cláusulas contractuales tipo y normas corporativas vinculantes.
• Puede autorizar transferencias internacionales para casos particulares, mediante resolución fundada, si se otorgan «garantías adecuadas» en un caso específico.
• Fiscaliza las transferencias internacionales y puede sancionar las transferencias ilegales.
• Publica un listado de «países adecuados» y modelos de cláusulas contractuales en su página web.

En resumen, la Ley 19628 regula estrictamente las transferencias internacionales de datos personales, buscando proteger la privacidad de los chilenos incluso cuando sus datos se envían al extranjero. Como regla general, solo se permiten transferencias a países con niveles de protección «adecuados» o bajo «garantías adecuadas» aprobadas por la Agencia, o en «situaciones específicas» muy limitadas. Las organizaciones deben ser muy cautelosas al realizar transferencias internacionales y asegurarse de cumplir con todos los requisitos legales.

32. ¿Qué es la «Agencia de Protección de Datos Personales» creada por la Ley 21719 y cuál es su rol principal? ¿Para qué sirve realmente esta nueva institución?

La «Agencia de Protección de Datos Personales» es la nueva autoridad de control creada por la Ley 21719 para supervisar y fiscalizar el cumplimiento de la Ley 19628 y proteger los derechos de los titulares de datos personales en Chile. Antes de la creación de la Agencia, no existía una autoridad especializada dedicada exclusivamente a la protección de datos en Chile, lo que generaba un vacío institucional en este ámbito. La Agencia viene a llenar ese vacío y a fortalecer significativamente el sistema de protección de datos en el país.

¿Para qué sirve realmente la Agencia de Protección de Datos?

En palabras sencillas, la Agencia es como el «guardián de la privacidad» en Chile. Su rol principal es asegurar que las organizaciones cumplan la Ley 19628. Para ello, la Agencia tiene amplias funciones y atribuciones:

• Dictar Normas y Instrucciones:
  La Agencia puede dictar normas generales y obligatorias para regular el tratamiento de datos personales, interpretando y desarrollando la Ley 19628. Estas normas son vinculantes para todos los responsables de datos en Chile. También puede emitir instrucciones específicas para casos particulares.
• Fiscalizar y Investigar:
  La Agencia tiene poderes de fiscalización para supervisar y controlar el cumplimiento de la ley por parte de las organizaciones. Puede realizar investigaciones de oficio o a petición de parte, requerir información, realizar inspecciones, citar a declarar, etc.
• Sancionar Infracciones:
  La Agencia tiene potestad sancionadora para imponer sanciones administrativas a las organizaciones que incumplan la Ley 19628. Las sanciones pueden ser amonestaciones escritas, multas de hasta 20.000 UTM, y suspensión temporal de operaciones de tratamiento de datos (en casos graves y reiterados).
• Resolver Reclamos de los Titulares:
  La Agencia recibe y resuelve los reclamos que presenten los titulares de datos que consideren que sus derechos han sido vulnerados por algún responsable. Actúa como una instancia administrativa de resolución de conflictos en materia de protección de datos.
• Promover la Protección de Datos:
  La Agencia tiene un rol pedagógico y de promoción de la protección de datos. Puede realizar campañas de difusión, guías, recomendaciones, estudios, certificaciones, etc., para fomentar una cultura de privacidad y buenas prácticas en el tratamiento de datos personales en Chile.
• Cooperación Internacional:
  La Agencia puede colaborar con autoridades de protección de datos de otros países, intercambiar información, participar en foros internacionales, etc., para fortalecer la cooperación global en materia de privacidad.
• Certificación de Modelos de Prevención:
  La Agencia puede certificar «modelos de prevención de infracciones» que las organizaciones implementen voluntariamente para asegurar el cumplimiento de la ley.
• Registro Nacional de Sanciones y Cumplimiento:
  La Agencia administra un «Registro Nacional de Sanciones y Cumplimiento» de carácter público, donde se registran las sanciones impuestas por la Agencia y las organizaciones que han adoptado modelos de prevención certificados. El registro busca promover la transparencia y la rendición de cuentas en materia de protección de datos.

Naturaleza y Autonomía de la Agencia:

• Corporación Autónoma de Derecho Público:
  La Agencia es una corporación autónoma, lo que le da independencia y autonomía respecto del gobierno de turno y de otros poderes del Estado. No depende jerárquicamente de ningún ministerio o institución.
• Carácter Técnico y Descentralizado:
  La Agencia tiene un carácter técnico y especializado en materia de protección de datos. Es descentralizada y tiene personalidad jurídica y patrimonio propio.
• Relación con el Presidente de la República:
  La Agencia se relaciona con el Presidente de la República a través del Ministerio de Economía, Fomento y Turismo, pero mantiene su autonomía funcional y operativa.
• Consejo Directivo:
  La Agencia es dirigida por un Consejo Directivo de tres miembros, designados por el Presidente de la República con acuerdo del Senado, por períodos de 6 años. El Consejo Directivo es el órgano máximo de dirección y administración de la Agencia.

En resumen, la Agencia de Protección de Datos Personales es una institución clave para fortalecer la protección de datos en Chile. Viene a llenar un vacío institucional y a dotar al país de una autoridad especializada y con amplias facultades para velar por el cumplimiento de la Ley 19628, proteger los derechos de los ciudadanos, y promover una cultura de privacidad en la sociedad chilena. Su creación representa un avance significativo en la adaptación de Chile a los estándares internacionales en materia de protección de datos personales.

33. ¿Cómo puedo contactar a la Agencia de Protección de Datos Personales si tengo dudas o quiero presentar un reclamo? ¿Ya está operando la Agencia?

La «Agencia de Protección de Datos Personales», aunque ya fue creada legalmente por la Ley 21719, todavía no está operando completamente al momento de esta respuesta (febrero de 2025). Su puesta en marcha y entrada en funcionamiento pleno requiere de un proceso de implementación y organización, que incluye:

• Designación de los miembros del Consejo Directivo:
  El Presidente de la República debe designar a los tres consejeros que dirigirán la Agencia, con acuerdo del Senado.
• Dictación de los Estatutos de la Agencia:
  Se deben dictar los estatutos que regulen el funcionamiento interno de la Agencia, su organización, estructura, procedimientos, etc.
• Designación y contratación del personal de la Agencia:
  Se debe seleccionar y contratar al equipo de profesionales y funcionarios que trabajarán en la Agencia.
• Establecimiento de la sede y la infraestructura tecnológica de la Agencia.
• Desarrollo de plataformas y canales de comunicación con los ciudadanos y las organizaciones.

¿Cuándo se espera que la Agencia comience a operar?

La Ley 21719 establece un plazo de vigencia diferida hasta el 01 de diciembre de 2026 para la mayoría de sus disposiciones, incluyendo las relativas a las funciones y atribuciones de la Agencia. Se espera que la Agencia comience a operar gradualmente en los meses y años previos a esa fecha, a medida que se complete su proceso de implementación. Es probable que algunas funciones, como la recepción de reclamos, la dictación de normas, y las fiscalizaciones, no estén disponibles hasta que la Agencia esté plenamente operativa.

34. ¿Qué tipo de sanciones contempla la Ley 19628 por incumplir sus normas? ¿Son multas, cárcel, o qué tipo de castigos existen?

La Ley 19628, con las modificaciones de la Ley 21719, establece un régimen de sanciones administrativas para castigar el incumplimiento de sus disposiciones por parte de los responsables de datos. No contempla sanciones penales de cárcel para las infracciones a la ley de protección de datos. Los tipos de sanciones administrativas son:

Amonestación Escrita:
Una advertencia formal por escrito de la Agencia al responsable infractor, indicando que ha cometido una infracción y exhortándolo a corregir su conducta y cumplir la ley. Se aplica para infracciones leves.

Multas:
Sanciones pecuniarias (en dinero) que debe pagar el responsable infractor. Las multas se clasifican según la gravedad de la infracción:

• Infracciones Leves: Multa de hasta 5.000 Unidades Tributarias Mensuales (UTM).
• Infracciones Graves: Multa de hasta 10.000 UTM.
• Infracciones Gravísimas: Multa de hasta 20.000 UTM.
• Recargo por Incumplimiento de Medidas: Si la Agencia impone una sanción y ordena medidas para subsanar la infracción, y el responsable no las cumple en el plazo, se puede imponer un recargo del 50% a la multa original.
• Multas Mayores por Reincidencia y Empresas Grandes: En casos de reincidencia (cometer la misma infracción reiteradamente) y para empresas que no sean consideradas «de menor tamaño» (según la ley N° 20.416), las multas pueden ser aún mayores, llegando hasta tres veces el monto máximo de la multa para cada tipo de infracción, o incluso alcanzar un porcentaje de los ingresos anuales de la empresa infractora (2% o 4% según la gravedad).

Suspensión Temporal de Operaciones de Tratamiento de Datos:
En casos de infracciones gravísimas reiteradas, la Agencia puede imponer como sanción accesoria (adicional a la multa) la suspensión temporal de las operaciones y actividades de tratamiento de datos que realiza el responsable de datos, hasta por un plazo máximo de treinta días. Esta suspensión no afecta el almacenamiento de datos, solo su uso y procesamiento activo. La suspensión puede ser parcial o total, pero no se puede decretar si afecta los derechos de los titulares. Si el responsable no cumple la suspensión, se puede prorrogar indefinidamente.

Criterios para Determinar el Monto de las Multas:

Para determinar el monto específico de las multas dentro de los rangos establecidos, la Agencia debe aplicar criterios de graduación y proporcionalidad, considerando:

• Gravedad de la conducta infractora.
• Diligencia o cuidado del responsable.
• Perjuicio producido con motivo de la infracción (especialmente el número de afectados).
• Beneficio económico obtenido con motivo de la infracción (si lo hubo).
• Inclusión de datos personales sensibles o datos personales de niños, niñas y adolescentes.
• Capacidad económica del infractor.
• Sanciones aplicadas con anterioridad por la Agencia en las mismas circunstancias.
• Circunstancias Atenuantes y Agravantes que Concurran.

Responsabilidad Civil por Daños y Perjuicios:

Además de las sanciones administrativas, la Ley 19628 establece la responsabilidad civil del responsable de datos por los daños patrimoniales y extrapatrimoniales (daño moral) que cause a los titulares de datos como consecuencia del incumplimiento de la ley. Los titulares de datos pueden demandar judicialmente al responsable para exigir la indemnización de los daños sufridos. La acción civil prescribe en 5 años desde que la resolución administrativa o sentencia judicial que declara la infracción queda ejecutoriada.

En resumen, el régimen sancionatorio de la Ley 19628 es principalmente administrativo, con multas que pueden ser muy elevadas, especialmente para infracciones graves y reiteradas, y la posibilidad de suspensión temporal de operaciones en casos extremos. Además, existe la responsabilidad civil por daños y perjuicios a los titulares. El objetivo principal de las sanciones es disuadir el incumplimiento de la ley, asegurar la protección de los derechos de los titulares, y promover una cultura de privacidad y cumplimiento normativo en las organizaciones.

35. ¿Qué se considera una «infracción leve», «grave» y «gravísima» bajo la Ley 19628? ¿Cuáles son ejemplos de cada categoría?

La Ley 19628 clasifica las infracciones en leves, graves y gravísimas, atendiendo a su gravedad y al impacto en los derechos de los titulares de datos. Esta clasificación determina el rango de las multas administrativas que puede imponer la Agencia de Protección de Datos (ver pregunta anterior). Aquí te presento ejemplos de cada categoría:

1. Infracciones Leves:
   Son incumplimientos menos graves de las obligaciones de la ley, que generalmente no causan un perjuicio significativo a los derechos de los titulares. Ejemplos:

• Incumplir parcial o totalmente el deber de información y transparencia (ej. no publicar la política de privacidad completa en el sitio web, o publicarla de forma poco clara).
• Carecer de información de contacto actualizada del responsable de datos para que los titulares puedan ejercer sus derechos.
• Omitir la respuesta, responder tardíamente o denegar sin causa justificada, en los casos de solicitudes fundadas de bloqueo temporal del tratamiento de datos personales de un titular.
• Omitir el envío a la Agencia de las comunicaciones previstas obligatoriamente en esta ley o sus reglamentos.
• Incumplir las instrucciones generales impartidas por la Agencia en los casos que no esté sancionado como infracción grave o gravísima.
• Cometer cualquier otra infracción a los derechos y obligaciones establecidos en esta ley, que no sea calificada como una infracción grave o gravísima.

2. Infracciones Graves:
   Son incumplimientos más serios de la ley, que pueden generar un perjuicio moderado o potencial a los derechos de los titulares, o que revelan una falta de diligencia significativa por parte del responsable. Ejemplos:

• Tratar los datos personales sin contar con el consentimiento del titular de datos o sin un antecedente o fundamento legal que otorgue licitud al tratamiento, o tratarlos con una finalidad distinta de aquélla para la cual fueron recolectados.
• Comunicar o ceder datos personales, sin el consentimiento del titular, en los casos en que dicho consentimiento sea necesario, o comunicar o ceder los datos para un fin distinto del autorizado.
• Efectuar tratamiento de datos personales innecesarios en relación con los fines del tratamiento vulnerando lo dispuesto en el literal c) del artículo 3°.
• Tratar datos personales inexactos, incompletos o desactualizados en relación con los fines del tratamiento, salvo que la actualización de estos datos corresponda al titular en virtud de la ley o el contrato.
• Impedir u obstaculizar el ejercicio legítimo de los derechos de acceso, rectificación, supresión, oposición o portabilidad del titular.
• Omitir la respuesta, responder tardíamente o denegar la petición sin causa justificada, en los casos de solicitudes fundadas de bloqueo temporal del tratamiento de datos personales de un titular.
• Realizar tratamiento de datos personales de niños, niñas y adolescentes con infracción a las normas previstas en esta ley.
• Realizar tratamiento de datos personales sin cumplir los requisitos establecidos para las personas jurídicas de derecho privado sin fines de lucro y cuya finalidad sea política, filosófica, religiosa, cultural, sindical o gremial, respecto de los datos de sus asociados.
• Vulnerar el deber de secreto o confidencialidad establecido en el artículo 14 bis.
• Vulnerar o infringir las obligaciones de seguridad en el tratamiento de los datos personales establecidas en el artículo 14 quinquies.
• Omitir las comunicaciones o los registros en los casos de vulneración de las medidas de seguridad establecidas en el artículo 14 quinquies.
• Adoptar medidas de calidad y seguridad insuficientes o no idóneas para el tratamiento de datos personales con fines históricos, estadísticos o científicos y para estudios o investigaciones que atiendan fines de interés público.
• Realizar operaciones de transferencia internacional de datos en contravención a las normas previstas en esta ley.
• Incumplir una resolución o un requerimiento específico y directo que haya impartido la Agencia.
• Cometer cualquier otra infracción de análoga naturaleza y gravedad a las precedentes.

3. Infracciones Gravísimas:
   Son los incumplimientos más graves y flagrantes de la ley, que causan o pueden causar un perjuicio grave e irreparable a los derechos de los titulares, que revelan una conducta intencional o negligencia extrema por parte del responsable, o que afectan categorías especialmente protegidas de datos. Ejemplos:

• Efectuar tratamiento de datos personales en forma fraudulenta.
• Destinar maliciosamente los datos personales a una finalidad distinta de la consentida por el titular o prevista en la ley que autoriza su tratamiento.
• Comunicar o ceder, a sabiendas, información no veraz, incompleta, inexacta o desactualizada sobre el titular de datos.
• Vulnerar el deber de secreto o confidencialidad sobre los datos personales sensibles y datos personales relativos a la comisión y sanción de infracciones penales, civiles, administrativas y disciplinarias.
• Tratar, comunicar o ceder, a sabiendas, datos personales sensibles o datos personales de niños, niñas y adolescentes, en contravención a las normas de esta ley.
• Omitir en forma deliberada la comunicación de las vulneraciones a las medidas de seguridad que puedan afectar la confidencialidad, disponibilidad o integridad de los datos personales.
• Efectuar tratamiento masivo de datos personales contenidos en registros electrónicos de infracciones penales, civiles, administrativas y disciplinarias, que llevan los organismos públicos, sin contar con autorización legal para ello.
• Realizar, a sabiendas, operaciones de transferencia internacional de datos en contravención a las normas previstas en esta ley.
• Incumplir una resolución de la Agencia que resuelve la reclamación de un titular sobre el ejercicio de sus derechos de acceso, rectificación, supresión, oposición, portabilidad o bloqueo temporal.
• Entregar, a sabiendas, información falsa, incompleta o manifiestamente errónea en el proceso de registro o certificación del modelo de prevención de infracciones.
• Incumplir la obligación establecida en el artículo 15 ter, en los casos que corresponda.
• Cometer cualquier otra infracción de análoga naturaleza y gravedad a las precedentes.

Esta clasificación es indicativa y no exhaustiva. La calificación final de la infracción en cada caso concreto corresponderá a la Agencia de Protección de Datos, atendiendo a las circunstancias específicas y a los criterios de graduación establecidos en la ley.

36. ¿Qué circunstancias pueden considerarse «atenuantes» o «agravantes» de responsabilidad al momento de imponer sanciones por incumplir la Ley 19628? ¿Me puede salir más caro o más barato si cometo una infracción según estas circunstancias?

Sí, la Ley 19628 considera circunstancias atenuantes y agravantes de responsabilidad que la Agencia de Protección de Datos debe tener en cuenta al momento de determinar el monto de las multas y otras sanciones por incumplimiento de la ley. Estas circunstancias pueden hacer que la sanción sea mayor o menor, dependiendo de si favorecen o perjudican al responsable infractor.

Circunstancias Atenuantes de Responsabilidad (Pueden Reducir la Sanción):

1. Las acciones unilaterales de reparación que realice el responsable y los acuerdos reparatorios convenidos con los titulares de datos que fueron afectados.
2. La colaboración que el infractor preste en la investigación administrativa practicada por la Agencia.
3. La ausencia de sanciones previas del responsable de datos.
4. La autodenuncia ante la Agencia. Junto con la autodenuncia, el infractor deberá comunicar las medidas adoptadas para el cese de los hechos que originaron la infracción o las medidas de mitigación implementadas, según corresponda.
5. El haber cumplido diligentemente sus deberes de dirección y supervisión para la protección de los datos personales sujetos a tratamiento, lo que se verificará con el certificado expedido de acuerdo a lo dispuesto en el artículo 51.

Circunstancias Agravantes de Responsabilidad (Pueden Aumentar la Sanción):

1. La reincidencia. Existe reincidencia cuando el responsable ha sido sancionado en dos o más ocasiones, en los últimos treinta meses, por infracción a esta ley. Las resoluciones que aplican las sanciones respectivas deberán encontrarse firmes o ejecutoriadas.
2. El carácter continuado de la infracción.
3. El haber puesto en riesgo la seguridad de los derechos y libertades de los titulares en relación con sus datos personales.

Impacto en la Sanción:

La presencia de circunstancias atenuantes puede llevar a la Agencia a reducir el monto de la multa o a imponer la sanción mínima dentro del rango correspondiente a la gravedad de la infracción. En casos extremos, la Agencia podría incluso imponer solo una amonestación escrita en lugar de multa, si existen atenuantes muy calificadas.

Por el contrario, la presencia de circunstancias agravantes puede llevar a la Agencia a aumentar el monto de la multa o a imponer la sanción máxima dentro del rango correspondiente, o incluso a aplicar sanciones accesorias como la suspensión de operaciones (en casos de infracciones gravísimas reiteradas).

En resumen, la Ley 19628 busca individualizar las sanciones, considerando las circunstancias específicas de cada caso y la conducta del responsable. Fomenta la conducta proactiva, la colaboración y la reparación del daño, premiando a los responsables que demuestren un compromiso real con la protección de datos. Al mismo tiempo, castiga con mayor severidad la reincidencia, la persistencia en la infracción, y las conductas que pongan en riesgo los derechos y libertades de los titulares. El sistema de atenuantes y agravantes busca asegurar que las sanciones sean justas, proporcionales y efectivas para disuadir el incumplimiento y promover una cultura de privacidad.

37. ¿Cómo se determina el monto específico de las multas por infracciones a la Ley 19628? ¿Hay alguna fórmula o criterio para calcularlo?

No existe una fórmula matemática para calcular el monto exacto de las multas por infracciones a la Ley 19628. La ley establece rangos de multas (leve, grave, gravísima) en Unidades Tributarias Mensuales (UTM), pero deja a la prudencia y discrecionalidad de la Agencia de Protección de Datos la determinación del monto específico dentro de esos rangos, atendiendo a una serie de criterios establecidos en la ley. La Agencia debe fundamentar y motivar su decisión al fijar el monto de la multa en cada caso concreto, explicando cómo ha aplicado estos criterios.

Criterios que la Agencia debe considerar para determinar el monto de las multas:

• Gravedad de la Conducta Infractora:
  Se evalúa la naturaleza y seriedad de la infracción, considerando:
  • El tipo de obligación o principio incumplido (ej. es más grave vulnerar el consentimiento para datos sensibles que omitir un dato de contacto en la política de privacidad).
  • El grado de intencionalidad o negligencia del responsable.
  • La duración y persistencia de la infracción.
  • El alcance territorial y personal de la infracción.
  • El impacto en la confianza pública en el sistema de protección de datos.
• Diligencia o Cuidado del Responsable:
  Se considera si el responsable actuó con diligencia y cuidado razonables para evitar la infracción, o si hubo una falta de diligencia o negligencia por su parte. Se evalúa si el responsable implementó medidas de prevención y control adecuadas, si capacitó a su personal, si realizó auditorías de privacidad, etc. La falta de diligencia agrava la responsabilidad.
• Perjuicio Producido con Motivo de la Infracción:
  Se evalúa el daño o perjuicio real o potencial causado a los titulares de datos afectados por la infracción, considerando:
  • El tipo de perjuicio: Daño patrimonial (económico) o extrapatrimonial (moral, reputacional, etc.).
  • La gravedad del perjuicio: Leve, moderado, grave, irreparable.
  • El número de titulares de datos afectados: A mayor número de afectados, mayor gravedad.
  • La categoría de datos afectados: Si se trata de datos sensibles o de NNA, mayor gravedad.
  • La posibilidad de discriminación, robo de identidad, o daño moral generado por la infracción.
• Beneficio Económico Obtenido con Motivo de la Infracción (si lo hubo):
  Si el responsable obtuvo un beneficio económico directo o indirecto como resultado de la infracción (ej. ganancias por marketing directo ilícito, reducción de costos por no invertir en seguridad, etc.), este beneficio se considera un factor agravante y puede aumentar la multa. Se busca evitar que el incumplimiento de la ley sea «rentable».
• Inclusión de Datos Personales Sensibles o de Niños, Niñas y Adolescentes:
  Si el tratamiento infractor involucró datos personales sensibles o datos personales de niños, niñas y adolescentes, se considera una circunstancia agravante que puede aumentar la multa, dada la mayor protección que la ley otorga a estas categorías de datos.
• Capacidad Económica del Infractor:
  Se considera la capacidad económica del responsable para pagar la multa, buscando asegurar que la sanción sea efectiva y disuasoria, pero también proporcionada y no confiscatoria. Para empresas de menor tamaño, se puede considerar una multa menor que para grandes corporaciones, incluso por la misma infracción.
• Sanciones Aplicadas con Anterioridad por la Agencia en las Mismas Circunstancias:
  Si el responsable ha sido sancionado previamente por la Agencia por infracciones similares, se considera reincidencia, que es una circunstancia agravante que puede aumentar significativamente la multa (hasta tres veces el monto original).
• Circunstancias Atenuantes y Agravantes que Concurran:
  Se consideran las circunstancias atenuantes y agravantes de responsabilidad que puedan concurrir en el caso concreto, y se modula el monto de la multa en función de ellas.

Proceso de Determinación del Monto:

La Agencia debe evaluar y ponderar todos estos criterios en cada caso concreto, de forma razonada y motivada, explicando en su resolución sancionatoria cómo ha aplicado los criterios para llegar al monto específico de la multa. La resolución debe ser proporcional y congruente con la gravedad de la infracción y las circunstancias del caso. Los responsables pueden impugnar judicialmente la resolución de la Agencia si consideran que el monto de la multa es excesivo o arbitrario.

38. ¿Qué son las «sanciones accesorias» que puede imponer la Agencia además de las multas? ¿En qué casos se aplican y qué implican?

Las «sanciones accesorias» son sanciones  adicionales a las multas que la Agencia de Protección de Datos puede imponer en casos de infracciones gravísimas reiteradas, como una medida complementaria para reforzar el cumplimiento de la ley y proteger los derechos de los titulares. La principal sanción accesoria contemplada en la Ley 19628 es la «suspensión temporal de operaciones y actividades de tratamiento de datos».

Suspensión Temporal de Operaciones de Tratamiento de Datos:

• Naturaleza:
  Es una sanción que suspende temporalmente la capacidad del responsable de datos para realizar operaciones de tratamiento de datos personales (recolección, uso, comunicación, etc.). No implica la eliminación de los datos, sino solo la interrupción temporal de su uso y procesamiento activo.
• Plazo:
  La suspensión puede durar hasta un término máximo de treinta días hábiles.
• Carácter Accesorio:
  Solo se puede imponer como sanción accesoria, adicional a una multa, y no de forma aislada.
• Condiciones para su Imposición:
  Solo se puede decretar en casos de infracciones gravísimas reiteradas, es decir, cuando:
  • El responsable ha cometido infracciones calificadas como «gravísimas» (ver pregunta 35).
  • Las infracciones gravísimas son reiteradas, es decir, se han cometido varias veces en un período de veinticuatro meses.
• Finalidad:
  La finalidad de la suspensión es reforzar la sanción económica (multa), presionar al responsable para que corrija sus prácticas y cumpla la ley, y proteger los derechos de los titulares ante la persistencia de infracciones graves.
• Carácter Excepcional:
  La suspensión temporal de operaciones es una sanción excepcional y de «última ratio», que solo se debe aplicar en casos de extrema gravedad y persistencia en el incumplimiento. No se debe imponer de forma automática o generalizada.

Características y Limitaciones de la Suspensión:

• Parcial o Total:
  La suspensión puede ser parcial, afectando solo a determinadas operaciones o actividades de tratamiento de datos (ej. solo el uso de datos para marketing directo), o total, afectando a todas las operaciones de tratamiento** del responsable (salvo el almacenamiento). La Agencia debe determinar el alcance de la suspensión en cada caso concreto.
• Protección de Derechos de Titulares:
  La suspensión no puede decretarse si con ello se afectan los derechos de los titulares de datos. La Agencia debe evaluar cuidadosamente el impacto de la suspensión en los titulares, y evitar medidas que puedan perjudicarlos (ej. interrupción de servicios esenciales).
• Obligaciones del Responsable durante la Suspensión:
  Durante el período de suspensión, el responsable debe adoptar las medidas necesarias para adecuar sus operaciones y actividades de tratamiento de datos a las exigencias dispuestas en la resolución que ordenó la suspensión.
• Prórroga Indefinida por Incumplimiento:
  Si el responsable no cumple con la resolución de suspensión temporal y no adopta las medidas correctivas, la Agencia puede prorrogar la suspensión indefinidamente, por períodos sucesivos de máximo treinta días, hasta que el responsable cumpla con lo ordenado.
• Comunicación a Autoridades de Supervisión Sectorial:
  Si la suspensión afecta a una entidad sujeta a supervisión por parte de un organismo público de carácter fiscalizador (ej. bancos, isapres, etc.), la Agencia deberá previamente poner los antecedentes en conocimiento de la autoridad regulatoria correspondiente, para los efectos de cautelar los derechos de los usuarios de dicha entidad.

En resumen, la suspensión temporal de operaciones de tratamiento de datos es una sanción accesoria excepcional y grave, que la Agencia puede imponer en casos de infracciones gravísimas reiteradas, como una medida de «último recurso» para asegurar el cumplimiento de la ley y proteger los derechos de los titulares, reforzando el efecto disuasorio de las sanciones administrativas. Su aplicación debe ser motivada, proporcional y cuidadosa, evitando afectar indebidamente los derechos de los titulares y las actividades legítimas de las organizaciones.

39. ¿Qué son los «modelos de prevención de infracciones de datos personales» y cómo pueden ayudar a mi organización a cumplir la Ley 19628?

Los «modelos de prevención de infracciones de datos personales» (o «modelos de cumplimiento») son programas voluntarios que las organizaciones pueden implementar para prevenir y detectar infracciones a la Ley 19628 y promover una cultura de cumplimiento normativo en materia de protección de datos personales. No son obligatorios, pero su adopción demuestra un compromiso activo con la protección de datos y puede atenuar la responsabilidad de la organización en caso de infracciones.

¿Qué incluyen típicamente los «modelos de prevención de infracciones?

Un modelo de prevención efectivo suele incluir los siguientes elementos clave:

• Designación de un Delegado de Protección de Datos (DPO): Nombrar una persona responsable dentro de la organización para supervisar y coordinar el cumplimiento de la ley.
• Análisis de Riesgos y Evaluación de Impacto en la Protección de Datos (EIPD): Identificar y evaluar los riesgos para la privacidad asociados a los tratamientos de datos personales que realiza la organización, y realizar EIPD para tratamientos de alto riesgo.
• Políticas y Procedimientos de Protección de Datos: Desarrollar e implementar políticas internas, normas, protocolos y procedimientos claros y detallados para regular el tratamiento de datos personales en la organización, cubriendo todos los aspectos relevantes de la ley (principios, derechos, obligaciones, seguridad, transferencias, etc.).
• Medidas de Seguridad Técnicas y Organizativas: Implementar medidas de seguridad apropiadas y proporcionales a los riesgos identificados, para proteger los datos personales contra accesos no autorizados, pérdidas, alteraciones, etc.
• Capacitación y Concientización del Personal: Capacitar y sensibilizar a todos los empleados y colaboradores que traten datos personales sobre la Ley 19628, sus obligaciones, los derechos de los titulares, y las políticas y procedimientos internos de la organización.
• Canales de Comunicación y Atención de Derechos de los Titulares: Establecer canales claros y accesibles para que los titulares puedan ejercer sus derechos (acceso, rectificación, etc.) y presentar consultas o reclamos, y definir procedimientos para atenderlos de forma efectiva y oportuna.
• Sistema de Reporte Interno y Gestión de Incidentes de Seguridad: Establecer mecanismos para que los empleados puedan reportar internamente posibles infracciones o incidentes de seguridad, y definir procedimientos para investigar, gestionar y resolver estos incidentes, incluyendo la notificación a la Agencia y a los titulares afectados en caso de vulneraciones de seguridad.
• Auditorías y Revisiones Periódicas: Realizar auditorías y revisiones periódicas del modelo de prevención y de las prácticas de tratamiento de datos, para verificar su eficacia, detectar deficiencias y realizar mejoras continuas.

¿Cómo ayudan los modelos de prevención a cumplir la Ley 19628?

La adopción de un modelo de prevención robusto y efectivo puede ayudar a tu organización a cumplir la Ley 19628 de diversas formas:

• Prevenir Infracciones: Al implementar medidas preventivas y controles internos, se reduce significativamente el riesgo de cometer infracciones a la ley, evitando posibles sanciones y daños reputacionales.
• Demostrar Diligencia y «Accountability»: La existencia de un modelo de prevención demuestra que la organización se toma en serio la protección de datos y que ha adoptado medidas proactivas para cumplir la ley, lo que puede ser valorado positivamente por la Agencia y los titulares de datos, y puede atenuar la responsabilidad en caso de infracciones.
• Generar Confianza: Un modelo de prevención transparente y certificado puede generar mayor confianza entre los clientes, usuarios y la sociedad en general, demostrando el compromiso de la organización con la privacidad y la protección de datos.
• Mejorar la Gestión de Riesgos: La EIPD y otras herramientas del modelo ayudan a identificar y gestionar los riesgos para la privacidad, permitiendo a la organización tomar decisiones más informadas y mitigar posibles impactos negativos.
• Facilitar la Supervisión y Fiscalización de la Agencia: Un modelo de prevención bien documentado y organizado facilita la labor de la Agencia en sus actividades de supervisión y fiscalización, demostrando el compromiso de la organización con la transparencia y la rendición de cuentas.

En resumen, los modelos de prevención de infracciones son una herramienta valiosa y recomendable para que las organizaciones puedan cumplir de forma efectiva y proactiva con la Ley 19628, protegiendo los derechos de los titulares de datos, evitando sanciones y daños reputacionales, y generando confianza en sus prácticas de privacidad. Si bien no son obligatorios, su adopción demuestra un compromiso serio con la protección de datos y puede ser muy beneficioso para cualquier organización que maneje información personal en Chile.

40. ¿Qué es el «Registro Nacional de Sanciones y Cumplimiento» y cómo me beneficia como titular de datos o como organización responsable? ¿Qué son los «modelos certificados de prevención»?

El «Registro Nacional de Sanciones y Cumplimiento» es un registro público que administra la Agencia de Protección de Datos Personales, donde se consigna información relevante sobre el cumplimiento de la Ley 19628 por parte de los responsables de datos. Fue creado por la Ley 21719 y busca promover la transparencia, la rendición de cuentas y el cumplimiento normativo en materia de protección de datos en Chile.

¿Qué información contiene el Registro Nacional de Sanciones y Cumplimiento?

El registro contiene, al menos, la siguiente información:

• Registro de Modelos Certificados de Prevención de Infracciones: Lista de organizaciones que han adoptado «modelos de prevención de infracciones» que han sido certificados por la Agencia. Se indica el nombre del responsable, el modelo certificado, y el período de vigencia de la certificación.
• Registro de Responsables Sancionados: Lista de organizaciones que han sido sancionadas por la Agencia por infracciones a la Ley 19628, con indicación de:

– Nombre del responsable sancionado.

– Conducta infraccionada (descripción de la infracción cometida).

-Tipo de infracción (leve, grave, gravísima).

-Sanción impuesta (multa, amonestación, suspensión, etc.) y su monto o alcance.

-Circunstancias atenuantes y agravantes consideradas en la sanción.

¿Cómo me beneficia como titular de datos?

Como titular de datos personales, el Registro Nacional de Sanciones y Cumplimiento te beneficia al darte mayor transparencia y acceso a información relevante para tomar decisiones informadas sobre tus datos y las organizaciones con las que interactúas:

• Conocer qué organizaciones cumplen con modelos certificados de prevención: Puedes consultar el registro para identificar qué organizaciones han demostrado un compromiso con el cumplimiento de la ley y han obtenido una certificación de la Agencia, lo que puede generar mayor confianza al entregarles tus datos personales.
• Verificar si una organización ha sido sancionada: Puedes consultar el registro para saber si una organización ha sido sancionada previamente por la Agencia por incumplir la Ley 19628, lo que puede darte indicios sobre sus prácticas de privacidad y ayudarte a evaluar los riesgos antes de entregarles tus datos.
• Acceder a información sobre infracciones y sanciones: El registro te permite conocer qué tipo de infracciones se están cometiendo con mayor frecuencia, qué sanciones se están imponiendo, y qué criterios considera la Agencia para graduar las sanciones, lo que te da una visión más clara del panorama del cumplimiento normativo en Chile.

¿Cómo beneficia a mi organización como responsable de datos?

Como organización responsable de datos, el Registro Nacional de Sanciones y Cumplimiento te beneficia al:

• Promover la transparencia y la rendición de cuentas: El registro público incentiva a las organizaciones a cumplir la ley y a demostrar su compromiso con la protección de datos, para evitar ser incluidas en la lista de sancionados y para poder obtener una certificación de su modelo de prevención.
• Generar confianza y reputación: Obtener una certificación de modelo de prevención y aparecer en el registro como organización certificada puede mejorar tu reputación y generar mayor confianza entre tus clientes, usuarios y la sociedad en general, diferenciándote positivamente de la competencia.
• Acceder a información relevante para el cumplimiento: El registro te permite conocer qué tipo de infracciones son más comunes y qué criterios considera la Agencia para graduar las sanciones, lo que puede ser útil para mejorar tu propio modelo de prevención y enfocar tus esfuerzos de cumplimiento en los aspectos más relevantes y riesgosos.
• Fomentar la competencia leal: Al promover la transparencia y el cumplimiento, el registro contribuye a nivelar la cancha entre las organizaciones, incentivando a todas a invertir en protección de datos y evitando que aquellas que incumplen obtengan ventajas indebidas.

¿Qué son los «modelos certificados de prevención de infracciones?

Los «modelos certificados de prevención de infracciones» son programas de cumplimiento que las organizaciones pueden adoptar voluntariamente para prevenir infracciones a la Ley 19628. Estos modelos, para ser certificados por la Agencia e inscritos en el registro, deben cumplir con requisitos y elementos mínimos establecidos en la ley y sus reglamentos. La certificación de un modelo de prevención por la Agencia es un reconocimiento oficial de que la organización ha implementado un programa robusto y efectivo para asegurar el cumplimiento normativo en materia de protección de datos, lo que puede generar beneficios reputacionales y atenuar la responsabilidad en caso de infracciones.

Explora la Guía Completa: ¡Profundiza en la Ley 19628!