Este viernes, en la sección de normas generales del Diario Oficial de la República de Chile, fue publicada la ley número 21.719 que regula la protección y el tratamiento de los datos personales y crea la Agencia de Protección de Datos Personales.
La mañana de este viernes 13 de diciembre fue publicada la nueva ley de datos personales, o ley número 21.719 que regula la protección y el tratamiento de los datos personales y crea la Agencia de Protección de Datos Personales.
El objetivo central de la ley es garantizar que el tratamiento de datos se realice con el consentimiento explícito del titular, o en situaciones donde la ley lo permita. Asimismo, busca asegurar la calidad, transparencia, seguridad, e información en el manejo de estos datos.
El nuevo texto legal establece que toda persona natural o jurídica, incluidos los órganos públicos, que trate datos personales, deberá respetar los derechos y libertades individuales, y someterse a las disposiciones de esta ley.
El régimen no se aplicará al tratamiento de datos en el ejercicio de las libertades de opinión e información, ni al uso de datos por personas naturales en actividades de carácter personal.
La ley se aplicará al tratamiento de datos personales realizado bajo las una serie de circunstancias, entre las que se cuentan las siguientes: cuando el responsable o mandatario esté establecido o constituido en territorio nacional; si el mandatario, con independencia de su lugar de establecimiento o constitución, realice las operaciones a nombre de un responsable establecido o constituido en territorio nacional, cuando el responsable o mandatario no se encuentren establecidos en el territorio nacional, pero sus operaciones ofrezcan bienes o servicios a titulares que se encuentren en Chile; y el realizado por un responsable que, sin estar establecido en el territorio nacional, le resulte aplicable la legislación nacional a causa de un contrato o del derecho internacional.
La nueva legislación introduce además una serie de principios, entre ellos el principio de licitud y lealtad, que consiste en que el responsable debe demostrar la licitud del tratamiento; el principio de finalidad, que aborda como el tratamiento debe realizarse con el fin para el que fueron recolectados los datos; el de proporcionalidad, principio que se refiere a como los datos tratados deben ser necesarios para los fines del tratamiento y conservarse solo el tiempo necesario; el de calidad, que hace referencia a como los datos personales deben ser exactos, completos y actuales; el principio de responsabilidad, relativo a los responsables del tratamiento deben cumplir con los principios y obligaciones legales; el principio de seguridad, que se refiere a que quien sea el responsable de los datos debe garantizar estándares adecuados de seguridad; el de transparencia e información, en el que el responsable debe informar sobre las políticas y prácticas sobre el tratamiento de datos personales; y el principio de confidencialidad, bajo el cual el responsable y quienes tengan acceso a los datos deben mantener su secreto y adoptar las medidas necesarias para ello.
La ley también menciona como debe ser realizado el tratamiento de los datos cuando estos puedan producir un alto riesgo para los derechos de los titulares de esos datos. En este caso, la ley obliga a realizar una evaluación de impacto en protección de datos. Si de esta evaluación se concluye que el tratamiento puede ser de alto riesgo, el responsable podrá consultar a la Agencia de Protección de Datos para que ésta emita recomendaciones antes de proceder en su manejo.
Otro tema que es mencionado en la ley es la forma en que los datos personales pueden ser transferidos internacionalmente, en la medida que sea a una persona o país adecuado (definido por la agencia), amparado por contratos con garantías adecuadas, y adoptando un modelo de cumplimiento entre los responsables.
Además, se reconoce el derecho de toda persona a acceder, rectificar, suprimir, oponerse, portar y bloquear sus datos personales. Estos derechos son personales, intransferibles e irrenunciables, y no pueden ser limitados por ningún acto o convención.
La ley además establece explícitamente que el tratamiento de datos personales es lícito cuando el titular otorga su consentimiento, el cual debe ser libre, informado y específico, y manifestado de manera previa e inequívoca. Este consentimiento puede ser revocado en cualquier momento, sin efectos retroactivos.
La ley también contempla situaciones en las que el tratamiento de datos es lícito sin el consentimiento del titular, como en el cumplimiento de una obligación legal o la celebración de un contrato.
Otro aspecto que define la ley tiene relación con las obligaciones del responsable de los datos, incluyendo deberes de confidencialidad y transparencia.
De la misma manera, la ley regula el tratamiento de datos sensibles, biométricos y de menores.
Por último, se destaca la creación clave de la Agencia de Protección de Datos Personales, una entidad autónoma de derecho público con personalidad jurídica propia, la cual será la encargada de velar por la protección efectiva de los derechos sobre la privacidad y los datos personales, así como de fiscalizar el cumplimiento de la ley.
La ley también incluye un marco de infracciones, sanciones, y responsabilidades administrativas y civiles. Fue el aspecto particular de las sanciones uno de los que suscito mayor diferencia entre los parlamentarios durante su tramitación final. Sus principales críticos indicaron que éstas pueden llegar a ser “desproporcionadas” y podrían generar desincentivos a la inversión entre las Pymes del sector de las tecnologías.
En lo específico a las sanciones, la ley establece un catálogo de conductas e infracciones: leves, graves y gravísimas, las que se sancionarán con multas de hasta 5.000 UTM, 10.000 UTM y 20.000 UTM, respectivamente, las que se encuentran entre las más altas en nuestro ordenamiento jurídico.
Otro elemento importante para considerar es que la nueva ley entrará en vigencia 24 meses después de su publicación, lo que permitirá a todos los responsables de datos adaptarse a este nuevo régimen.
Con la aprobación de esta legislación, Chile podría ser declarado por la Comisión Europea como país con un nivel adecuado de protección de datos personales, lo que facilitará la transferencia internacional de datos entre nuestro país y la Unión Europea.
La aprobación de esta ley también implica el cumplimiento del último compromiso adquiridos por nuestro país en el contexto de su ingreso a la OECD el año 2010.