Cámara de Diputados despacha para su promulgación Ley de Protección de Datos Personales

Tras siete años de tramitación, este lunes, la Cámara de Diputados aprobó por 65 votos a favor, 22 en contra y 36 abstenciones el proyecto de Protección de Datos Personales.

La iniciativa -que fue despachada para su promulgación como ley- busca proteger y regular como se tratan los datos de las personas, tales como el nombre, el domicilio, el correo electrónico o el número de teléfono.

Esto, a través de la creación de una agencia estatal: la Agencia de Protección de Datos Personales, que supervisará el cumplimiento de los distintos derechos que entrega esta legislación y que da absoluto control a las personas sobre sus datos personales.

La Cámara votó el informe de la comisión mixta, que se constituyó por diputados y senadores con el fin de resolver 22 nudos que surgieron en la tramitación.

El debate se centró en las grandes multas que se establecen para las empresas infractoras, en un proyecto que contó con el rechazo de un sector de la oposición.

Desde el gobierno asistió la subsecretaria general de la Presidencia, Macarena Lobos, quien intentó aclarar los puntos que se debatieron en la Cámara y destacó la importancia de la iniciativa.

“Este es un proyecto que después de siete años es muy necesario e importante, lo que hace es actualizar nuestra normativa para cumplir los compromisos con la OCDE y garantizar una efectiva protección de datos personales”, expresó

La iniciativa busca que el tratamiento de datos se realice con el consentimiento del titular o en los casos que lo autorice la ley. Además, procura que se aseguren estándares de calidad, información, transparencia y seguridad.

El proyecto se abordó conforme a los acuerdos definidos en una comisión mixta con el Senado. Allí, se mantuvo gran parte de la redacción establecida en la Cámara, en el segundo trámite. Así, por ejemplo, se mantuvieron las normas relativas a términos utilizados y principios, así como gran parte de las relativas a derechos de los titulares.

Hubo enmiendas en artículos referentes al derecho a bloqueo cuando se formule una solicitud de rectificación, supresión u oposición. También en lo relativo a la forma y medios de ejercer los derechos para las personas jurídicas no constituidas en Chile; para extender el plazo de respuesta frente a una solicitud de rectificación de 15 a 30 días; sobre el tratamiento de los datos personales y las categorías especiales de datos.

Igualmente, hubo nuevas redacciones respecto datos personales biométricos, geolocalización, transferencia internacional de datos personales; la agencia; marco de sanciones; y regímenes especiales. En estos últimos, por ejemplo, están contemplados los que se usan para fines de prevención o enjuiciamiento de infracciones penales o protección de víctimas.

El texto define que todo tratamiento de datos personales que realice una persona natural o jurídica, incluidos los órganos públicos, debe respetar los derechos y libertades de las personas y quedará sujeto a las disposiciones de esta ley.

Este régimen no se aplicará al tratamiento de datos que se realice en el ejercicio de las libertades de emitir opinión y de informar. Tampoco al uso de antecedentes que efectúen las personas naturales en relación con sus actividades personales.

Esta ley se aplicará al tratamiento de datos personales que se realice bajo cualquiera de las siguientes circunstancias:

- Cuando el responsable o mandatario esté establecido o constituido en territorio nacional.

- Si el mandatario, con independencia de su lugar de establecimiento o constitución, realice las operaciones a nombre de un responsable establecido o constituido en territorio nacional.

- Cuando el responsable o mandatario no se encuentren establecidos en el territorio nacional, pero sus operaciones ofrezcan bienes o servicios a titulares que se encuentren en Chile.

- El realizado por un responsable que, sin estar establecido en el territorio nacional, le resulte aplicable la legislación nacional a causa de un contrato o del derecho internacional.

Entre los principios rectores, la ley considera que los datos sólo pueden tratarse de manera lícita y leal; deben ser recolectados con fines específicos, explícitos y lícitos; y limitarse estrictamente a aquellos que resulten necesarios, adecuados y pertinentes en relación con los fines del tratamiento.

Por otra parte, la propuesta define que toda persona tiene derecho de acceso, rectificación, supresión, oposición, portabilidad y bloqueo de sus datos personales. Luego, entra a definir los alcances de cada uno de ellos y determina que son personales, intransferibles e irrenunciables y no pueden limitarse por ningún acto o convención.

El proyecto determina que es lícito el tratamiento de los datos personales que le conciernen al titular, cuando otorgue su consentimiento para ello. Este debe ser libre, informado y específico en cuanto a su/s finalidad/es. Asimismo, debe manifestarse en forma previa y de manera inequívoca.

Cuando el consentimiento lo otorgue un mandatario, éste deberá encontrarse expresamente premunido de esta facultad.

En todo caso, el titular puede revocar el consentimiento otorgado en cualquier momento y sin expresión de causa. Sin embargo, no tendrá efectos retroactivos.

Igualmente, se enumeran las opciones en que es lícito el tratamiento de datos personales, sin el consentimiento del titular. Entre ellas están, por ejemplo, cuando se requiera el cumplimiento de una obligación legal o para la celebración de un contrato.

La nueva ley determina las obligaciones del responsable de datos, así como los deberes comprometidos (confidencialidad, transparencia, etc). Junto a ello, se regula el tratamiento de los datos personales sensibles, los de carácter biométrico y los de niños, niñas y adolescentes.

Además, se crea la Agencia de Protección de Datos Personales, que será una corporación autónoma de derecho público, de carácter técnico, descentralizado, con personalidad jurídica y patrimonio propio. Tendrá por objeto velar por la efectiva protección de los derechos que garantizan la vida privada de las personas y sus datos personales y fiscalizará el cumplimiento de sus disposiciones.

Por último, entre otras normas, la iniciativa comprende un marco de infracciones y sanciones; así como de responsabilidades administrativas y civiles.

El debate en la Sala estuvo principalmente marcado por dos temas. Uno de ellos fue el relativo del acceso a datos de carácter público y su posterior tratamiento, respecto de lo cual la oposición presentó observaciones.

Pero la principal queja proveniente de este sector, que adelantó votos en contra o abstenciones, apuntó al marco sancionatorio. Se acusó que es absolutamente desproporcionado, ajeno a la realidad chilena y condenatorio para las pequeñas y medianas empresas relacionadas al ámbito de la tecnología de datos.

Además, se sostuvo que ello generará desincentivos a la inversión en Chile de este tipo de empresas.

Por el contrario, desde el oficialismo se defendió que las sanciones son solo disuasivas, donde quedan fuera de su aplicación las pymes. Asimismo, remarcaron que tienen un eco en la legislación internacional, principalmente europea y acorde con otras legislaciones nacionales, como la de ciberseguridad.

El gobierno, por su parte, refrendo que el marco sancionatorio se condice con leyes equivalentes en el país, que no afecta a las pymes y que tiene su base en la reglamentación de la OCDE, con la idea de facilitar el intercambio de información entre agencias. Agregó que los montos definidos son máximos a aplicar; que dependerán de las agravantes; y de la reincidencia de las infracciones.

Al momento de las votaciones, el informe se respaldó por 65 votos a favor, 22 en contra y 36 abstenciones. Con ello, el grueso de las normas se aprobó y pasó a fase de promulgación. La salvedad estuvo en un artículo que requería un mínimo de aprobación de 78 votos favorables y que refería a la regla general del tratamiento de datos personales de algunos organismos públicos, como el Poder Judicial y el Ministerio Público.