5 claves de la nueva Ley de Protección de Datos Personales en Chile

Ley de datos: Datos cayendo sobre el palacio de La Moneda

Una nueva Ley de Protección de Datos Personales

A 18 años de su acuñamiento en 2006, la frase «los datos son el nuevo petróleo» podría considerarse un cliché, un lugar común. Pero, aunque algo tenga de eso, la economía de esta tercera década del siglo XXI no se entiende sin el llamado Big Data y su procesamiento.

Decía Clive Humby: «Los datos son el nuevo petróleo. Son valiosos, pero sin refinamiento no se pueden utilizar. Tiene que ser cambiado a gas, plástico, químicos, etc, para crear una entidad valiosa que dirija la actividad rentable; por lo que los datos deben ser descompuestos, analizados para que tengan valor.«

La frase no es la más feliz por su comparación con uno de los compuestos energéticos que más colabora al cambio climático, pero le hace justicia en la importancia que le adjudica. Si la economía del siglo XX estuvo impulsada por ese «oro negro», en 2024 no quedan dudas que la profecía de Humby era, a lo menos, apropiada: en 2022, el mercado global del Big Data era de 154.000 millones de dólares y se prevé que podría superar los 353.000 millones en 2030. Las empresas, a través de la segmentación personalizada que permite el análisis de datos personales por algoritmos de conglomerados como Alphabet o Facebook, son capaces de alcanzar al usuario perfecto para sus productos y servicios, automatizar tareas complejas, sofisticar procesos y entregar experiencias cada vez más personalizadas.

Por eso y por la vejez de la Ley Sobre Protección de la Vida Privada (19.628) en Chile, de 1999, la próxima publicación y entrada en vigencia de su actualización, la Ley de Protección de Datos Personales, será un hito tanto para los consumidores como para las empresas.

Esta ley equipara los estándares chilenos a los del Reglamento General de Protección de Datos (GDRP) de la Unión Europea, que se considera como el más avanzado en términos de protección de los derechos de las personas sobre sus datos.

Romina Garrido, abogada y directora de Protección de Datos Personales en Prieto Abogados, asegura que la ley «tiene el potencial de fortalecer la posición de Chile como un hub tecnológico, ya que genera confianza en el entorno digital al fijar las reglas del juego», dejando de lado las incertezas de la ley actual. En este mismo sentido, cree que «facilita el flujo internacional de datos al cumplir con estándares globales.

Hay, también, cada vez mayores exigencias ciudadanas en el tratamiento de sus datos personales, así como un mayor respeto a su información personal. A todos nos han llamado desde empresas a las cuales nunca les hemos dado nuestros datos ni menos sido clientes, ¿no?

La nueva Ley de Protección de Datos Personales, que podría promulgarse antes de fin de año, busca fortalecer la privacidad de los individuos y fomentar así la confianza, en donde tanto las personas como las empresas puedan relacionarse digitalmente de manera segura y transparente.

1. Principales componentes de la nueva ley

Los cambios son bastantes, así que repasemos algunos puntos claves. Lo primero es que la nueva Ley de Protección de Datos Personales ahora define lo que es un dato personal como cualquier información vinculada o referida a una persona natural identificada o identificable. En ese sentido, identificable es toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante uno o más identificadores. ¿Cuáles son esos identificadores? Por ejemplo, el nombre, RUT, número de pasaporte, domicilio, correo electrónico, fecha de nacimiento, nacionalidad, estado civil, firma, número telefónico, sexo o género, datos bancarios, fotografía, información de salud, economía o cultura, entre otros.

Por otro lado, se explicita lo que es un tratamiento de datos: cualquier operación o conjunto de operaciones o procedimientos técnicos, de carácter automatizado o no, que permitan de cualquier forma recolectar, procesar, almacenar, comunicar, transmitir o utilizar datos personales o conjuntos de datos personales.

Complementariamente, se identifican cuatro actores relevantes. El primero es el titular, la persona natural a quien conciernen o se refieren los datos. El segundo es el responsable, que puede ser una persona natural o jurídica, pública o privada, que decide sobre los fines y medios del tratamiento de datos personales (independiente de si son tratados por ella o un tercero que ha sido mandatado). El tercer actor es el mandatario o el Encargado de tratamiento, una persona natural o jurídica que se encarga de tratar datos personales por orden del responsable. Y finalmente tenemos a la nueva Agencia de Protección de Datos Personales (APDP), un organismo regulador que podrá fiscalizar, sancionar y entregar directrices respecto a los datos.

Infografía sobre la ley de protección de datos
En la nueva Ley de Protección de Datos Personales, la APDP vigilará las relaciones entre el titular, el responsable y el encargado del tratamiento de los datos. Elaboración propia con información del proyecto de ley.

Esta ley «actualiza las prácticas de protección de datos que hoy en día son claves, como la seguridad, transparencia, consentimientos, incorpora principios y derechos modernos de protección de datos y lo más relevante, crea una autoridad de control independiente para supervisar el cumplimiento» comenta Romina Garrido. «Además, considera nuevas realidades tecnológicas y sociales, como el tratamiento de datos en plataformas digitales y el uso de algoritmos.»

2. Los derechos del titular de los datos

El titular, es decir, aquella persona natural a quien conciernen los datos, tendrá ahora 6 derechos garantizados por la Ley de Protección de Datos Personales:

  • Acceso: podrá solicitar y obtener del responsable la confirmación directa de si sus datos están siendo tratados por él y acceder a ellos.
  • Rectificación: podrá pedirle al responsable que modifique o complete sus datos personales si es que considera que están desactualizados, inexactos o incompletos.
  • Supresión: podrá pedir que el responsable elimine sus datos personales.
  • Oposición: podrá solicitar y obtener del responsable que los datos no sean tratados en casos específicos, además de poder oponerse a decisiones individuales automatizadas, como la elaboración de perfiles.
  • Portabilidad: podrá pedir una copia de sus datos personales en un formato electrónico estructurado, genérico y de uso común. También podrá comunicarlos a otro responsable de datos.
  • Bloqueo: podrá solicitar la suspensión temporal de cualquier operación de tratamiento, si es que el titular solicitó previamente rectificar, suprimir o se haya opuesto.

Pongamos, nuevamente, aquellas insistentes llamadas de empresas de telecomunicaciones que algunas personas reciben por decenas durante el día. Romina Garrido cree que esta práctica agresiva podría verse afectada por la nueva legislación, fortaleciendo la capacidad de las personas de controlar su información.

«La ley entrega herramientas para exigir información sobre el origen de nuestros datos, o poder derechamente solicitar la eliminación de tu número de teléfono de su base de datos si lo utilizan con fines comerciales. Bajo la nueva ley, habrán derechos claros y mecanismos de denuncia ante la autoridad reguladora en caso de incumplimiento».

3. Bases legales para el tratamiento de datos

Las empresas, por su parte, deben cumplir con ciertos mínimos de licitud (razones legales) para poder tratar estos datos, según lo que dicta la nueva Ley de Protección de Datos Personales.

El más prominente es el consentimiento del titular, que debe ser previo al tratamiento, inequívoco y expreso. Este se puede dar por escrito, verbalmente o expresado a través de un medio electrónico equivalente. Es revocable.

Además se pueden tratar para cumplir ciertas obligaciones financieras, económicas, bancarias o comerciales conforme a la ley, incluidos aquí los datos referidos a situación económica.

También se podrán tratar los datos para el cumplimiento de una obligación legal o disposición de la ley.

Si es necesario para la celebración o ejecución de contrato entre el titular y el responsable o medidas precontractuales, también podrán ser tratados.

El responsable también podrá tratar los datos si este procesamiento es necesario para la satisfacción de sus intereses legítimos o de un tercero, siempre y cuando no afecte los derechos del titular.

Finalmente, también podrán tratar datos personales si es necesario para el ejercicio de un derecho ante tribunales.

Ley de Protección de Datos Personales: bases de licitud
Las empresas tendrán seis posibles bases de licitud para tratar los datos personales.

Este tratamiento de datos por parte del responsable puede ser directo o indirecto. En el segundo caso, este tercero mandatario o encargado debe realizar el tratamiento conforme a las instrucciones del responsable y no puede desviarse a otros objetos. Si el encargado trata los datos para otro objetivo distinto del encargado, será responsable del tratamiento para todos los efetos legales, debiendo responder personalmente por las infracciones en las que incurra y solidariamente con el responsable de datos por los daños ocasionados. Esta relación responsable-encargado se debe revisar especialmente con cuidado cuando sean proveedores que tratan datos o se actúe como proveedor de terceros y se manejen datos de estos.

Para Romina Garrido, las empresas deben estar muy conscientes de que se requerirán cambios importantes. Esto podría ser un obstáculo inicial para algunas, sobre todas las más pequeñas, que podría mitigarse con buen apoyo de políticas públicas para las Pequeñas y Medianas Empresas (Pymes). Con ese escenario, la normativa debería impulsar la innovación en lugar de frenarla: «hay que mirar estas nuevas obligaciones dentro del set básico de las empresas, tal como hay obligaciones tributarias y laborales.»

4. Normativas relevantes para las empresas

Las empresas deben cumplir con los principios de tratamiento de datos como los describe la nueva Ley de Protección de Datos Personales, como son: licitud, finalidad, proporcionalidad, calidad, transparencia, limitación del plazo de conservación, entre otros.

También deben integrar e impulsar medidas técnicas y organizativas que garanticen un nivel de seguridad adecuado al riesgo, buscando siempre proteger los datos contra el tratamiento no autorizado o ilícito, y contra su pérdida, filtración, daño accidental o destrucción y establecer la protección de datos desde el diseño de sus operaciones y por defecto.

El principio de transparencia es esencial: deben informar su política de tratamiento de datos; las categorías de los datos que trata, las finalidades de esos tratamientos, los derechos que tienen los titulares de los datos y cómo se deben ejercer, entre otros.

La nueva legislación establece también la posibilidad de adoptar un Modelo de Prevención de Infracciones que contempla un delegado de protección de datos personales, entre otros mínimos.

La también Sub Directora de GobLab de la Universidad Adolfo Ibáñez, cree que los principales desafíos para las empresas estarán en la adaptación de sus procesos internos, pues implican inversiones en capacitación, nuevas prácticas y tecnologías. Además, los principios de seguridad y privacidad deberán estar considerados «por diseño», es decir, desde el inicio.

5. Las sanciones

La Agencia de Protección de Datos Personales será la que podrá fiscalizar el cumplimiento de las disposiciones y aplicar sanciones. La Ley de Protección de Datos Personales establece un catálogo de conductas e infracciones que se clasifican en leves, graves y gravísimas. Las multas son de hasta 5.000 UTM, 10.000 UTM y 20.000 UTM, respectivamente. Son de las más altas en el ordenamiento jurídico chileno.

Además, si no existe una subsanación de la infracción en un plazo menor de 60 días, se podrá recargar la multa en un 50%. Y en cuanto a la reincidencia, considerada como haber sido sancionado dos o más ocasiones en los últimos 30 meses (2 años y 6 meses), la Agencia podrá aplicar una multa de 3 veces el monto asignado a la infracción cometida.

Especial es el caso de las empresas que no son consideradas de menor tamaño y que reincidan en infracciones consideradas graves o gravísimas, que podrán ser multadas con hasta un 2% o 4% respectivamente, de los ingresos anuales por ventas y servicios en el último año calendario.

«Mi mirada de la autoridad de control es que es clave para garantizar el cumplimiento y fomentar una mayor conciencia sobre los derechos y obligaciones«, dice Romina Garrido respecto a la Agencia de Protección de Datos Personales. Su labor, cree, «no debe solo focalizarse en sanciones, sino tener un fuerte foco en generar cultura y apoyando a paso firme la implementación.«

Las oportunidades

La puesta en marcha de la Ley de Protección de Datos durará 24 meses desde su publicación en el Diario Oficial, un período de transición que puede parecer largo, pero que puede hacerse apretado debido a todas las nuevas disposiciones y las implicancias, sobre todo para las organizaciones.

Sin embargo, expertos han adelantado que el nuevo marco legal podría entregar condiciones favorables para que Chile se convierta en un país de base tecnológica. Por lo pronto, estos estándares homologan al país con la Unión Europea, uno de sus principales socios comerciales.

Algo similar cree Romina Garrido: «Yo soy muy optimista pero realista también en cuanto a que esta es una normativa que se activará si las personas se empoderan de sus derechos. En el mediano plazo, esta ley debería posicionar a Chile como un referente regional en protección de datos.»

La información, aquello que se obtiene al «refinar» los datos, es de los procesos que más valor entregan en la economía digital. Incluso, es lo que la define. Por lo mismo, la nueva Ley de Protección de Datos Personales, que permite que los usuarios tengan más control sobre sus datos y, por lo tanto, del poder económico que generan, debería ayudar a equiparar las relaciones y a mejorar la confianza entre los diversos actores. Si te interesa saber más de mi trabajo, te invito a visitarme aquí.

Puedes encontrar más información en:
Nueva Ley de Protección de Datos Personales: ¿qué derechos le entrega a las personas? – Radio Universidad de Chile
Cómo implementar la ley de protección de datos personales y evitar costosos errores – G5noticias
Nueva ley de protección de datos personales y control de constitucionalidad: se acabó la espera – Conadecus

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *