5 claves: Guía para entender la nueva Ley de Protección de Datos Personales

Luego de siete años de tramitación, este lunes la Cámara de Diputados aprobó la Ley de Protección de Datos, siendo despachada para su promulgación. Como anunció el gobierno, la nueva normativa busca “regular la forma y condiciones en las que se realiza el tratamiento de este tipo de información”.

Como contexto, distintas empresas, instituciones e incluso personas manejan diversos datos de la población: Nombres, RUTs, correos electrónicos, teléfonos, domicilio, situación crediticia, hay una enorme variedad de información de las personas que está circulando y utilizándose permanentemente con distintos fines.

Con esta nueva ley, la forma de manejar esos datos cambiará. Aquí 5 claves para entender lo que se viene.

La ley tiene como objetivo actualizar el marco normativo para la protección y tratamiento de datos personales, alineándose con estándares internacionales como el Reglamento General de Protección de Datos (GDPR) de la Unión Europea. Algunos de los puntos que se ajustarán a estos criterios son:

• Derechos a los titulares de los datos.
• Crear principios de tratamientos de datos.
• Implementar sanciones y multas para los incumplimientos.

En conversación con Pulso, el expresidente del Consejo para la Transparencia, Marcelo Drago, explicó que esta nueva normativa “permitirá que Chile sea declarado ‘país adecuado’ por la UE, lo que permite un libre flujo de datos con ese bloque económico. Esto abre nuevas oportunidades de intercambio comercial con los países europeos y con muchos otros que han obtenido la misma declaración”.

A través de la creación de la Agencia de Protección de Datos Personales, la ley pretende introducir mecanismos para proteger los derechos de los ciudadanos y regular con detalle los deberes de las empresas en el tratamiento de datos, con el fin de elevar el estándar de protección de la información personal.

Esta nueva normativa aplica a cualquier persona natural o jurídica, incluyendo órganos públicos o privados que realicen manejo de datos personales en territorio nacional o dirigido a personas en Chile, exceptuando ciertos tratamientos relacionados a emitir opiniones e informar.

• Busca equilibrar la privacidad de las personas con la libre circulación de información en la economía digital, elevando los estándares de protección.
• Establece la creación de la Agencia de Protección de Datos Personales, encargada de velar por la protección efectiva de los derechos de privacidad y datos personales. La Agencia tendrá facultades normativas, fiscalizadoras y sancionadoras.
• Los responsables de tratamiento de datos, incluso aquellos no constituidos en Chile, deberán designar un representante ante la Agencia para asegurar el ejercicio de derechos y la correcta comunicación.
• La ley introduce principios como licitud, lealtad, proporcionalidad y responsabilidad

La nueva ley establece multas de hasta 20.000 UTM (US$1.418.000) por infracciones, que pueden triplicarse en caso de reincidencia, clasificándolas en leves, graves y gravísimas. Las grandes empresas enfrentan sanciones de hasta el 2% de sus ingresos anuales por infracciones graves y hasta el 4% por infracciones gravísimas.

Las sanciones son multas a beneficio fiscal, según la gravedad:

• Infracciones leves: Multa de hasta 5.000 UTM.
• Infracciones graves: Multa de hasta 10.000 UTM.
• Infracciones gravísimas: Multa de hasta 20.000 UTM.

Macarena Gatica, socia de Alessandri y directora de AmCham, explicó a Pulso que esta nueva normativa corrige una debilidad de la ley vigente al incluir multas disuasivas, aunque las sanciones para grandes empresas, en caso de reincidencia, podrían considerarse desproporcionadas. “La reincidencia, con un periodo de 30 meses, podría desincentivar la inversión debido a la falta de cultura en protección de datos en el país”, detalla.

Como explica el estudio de abogados Carey, la ley otorga a los titulares de datos personales varios derechos irrenunciables e intransferibles, conocidos como Derechos ARCOP, que incluyen:

• Derecho de acceso: El titular puede solicitar confirmación sobre si sus datos están siendo tratados, conocer los datos específicos, su origen, finalidad, destinatarios y el tiempo de tratamiento.
• Derecho de rectificación: Permite al titular solicitar la corrección de datos inexactos, desactualizados o incompletos.
• Derecho de supresión: El titular puede pedir la eliminación de sus datos personales bajo ciertas condiciones.
• Derecho de oposición: El titular puede oponerse a un tratamiento específico de sus datos, especialmente en casos de marketing directo o cuando se obtienen de fuentes públicas.
• Derecho de oposición a decisiones automatizadas: Permite al titular oponerse a decisiones basadas exclusivamente en el tratamiento automatizado de datos.
• Derecho de portabilidad: El titular puede solicitar y recibir una copia de sus datos personales en ciertos casos.
• Derecho de bloqueo: Permite al titular solicitar la suspensión temporal del tratamiento de sus datos personales bajo ciertas condiciones.

Además, la ley impone varios deberes a los responsables del tratamiento de datos:

• Deber de secreto o confidencialidad: Mantener la confidencialidad de los datos personales, incluso después de finalizar la relación con el titular.
• Deber de información y transparencia: Facilitar y mantener disponible la información sobre las políticas de privacidad y el tratamiento de datos.
• Deber de protección desde el diseño y por defecto: Implementar medidas técnicas y organizativas para proteger los datos desde su diseño y durante todo el proceso de tratamiento.
• Deber de adoptar medidas de seguridad: Garantizar la seguridad, confidencialidad e integridad de los datos mediante medidas adecuadas.
• Deber de reportar vulneraciones: Informar a la Agencia sobre cualquier violación de seguridad que afecte los datos personales.
• Deber de realizar una Evaluación de Impacto en Protección de Datos Personales (EIPDP): Evaluar riesgos y adoptar medidas para minimizar o eliminar posibles daños a los derechos de los titulares.
• Regular el procesamiento de datos con terceros: Asegurar que el tratamiento de datos realizado por un tercero esté regulado por contrato conforme a la ley.

La misma ley establece que esta debería entrar en vigor 24 meses después de su publicación en el Diario Oficial. Sin embargo, la creación de la Agencia de Protección de Datos Personales que debe generar el marco regulatorio de ley podría tomar la misma cantidad de tiempo e incluso más. Por ende, detalles de la ley, como qué acciones específicas serán consideradas infracciones y cómo funcionarán las denuncias, aún es una incógnita.

Dicho lo anterior, hay cosas que ya sabe serán sancionadas, como las llamadas comerciales no deseadas. Según explicó la subsecretaria de la presidencia, Macarena Lobos, “si yo entrego mi correo electrónico o mi número de teléfono a un banco, con el fin único de tramitar un crédito que estoy solicitando, ese banco no podrá utilizar mi número de teléfono o mi correo para otros fines, como hacer publicidad o tratar de ofrecer otros de sus productos”.

Lo mismo, agregó, sucederá con las empresas telefónicas, que ya no podrán usar los datos que se les da para contratar un plan, con el fin de ofrecer otros servicios. “En esos casos, yo podré oponerme al uso de mis datos para esos fines y la empresa tendrá que detener esas operaciones”, afirmó Lobos.