La normativa regulará la protección y el tratamiento de datos personales, creará la Agencia de Protección de Datos Personales y establece los derechos de los titulares de los datos como el acceso, la rectificación, la supresión, la oposición, la portabilidad y el bloqueo.
Luego de un largo proceso legislativo que culminó con la aprobación de un informe en la comisión mixta que resolvió las diferencias entre la Cámara y el Senado, este lunes finalmente se despachó desde la Cámara de Diputadas y Diputados la Ley de Protección de Datos Personales.
Pero a lo anterior, la norma no concitó el apoyo de todos los legisladores en algunos aspectos y no se alcanzó quorum en lo relativo a las reglas generales del tratamiento de datos en algunos organismos públicos.
De todas formas, con la votación de este lunes en la Cámara, el proyecto fue despachado desde el Congreso y el nuevo marco legislativo ahora se dirige al Ejecutivo para su promulgación como ley.
El objetivo central de la ley es garantizar que el tratamiento de datos se realice con el consentimiento explícito del titular, o en situaciones donde la ley lo permita. Asimismo, busca asegurar la calidad, transparencia, seguridad, e información en el manejo de estos datos.
El proyecto fue debatido conforme a los acuerdos alcanzados en una comisión mixta con el Senado, donde se preservó gran parte del texto original discutido en la Cámara durante el segundo trámite. Esto incluye disposiciones sobre la terminología y principios utilizados, así como los derechos de los titulares de los datos.
Durante el debate se introdujeron modificaciones en artículos relacionados con el derecho de bloqueo, aplicable cuando se solicita la rectificación, supresión u oposición de datos. También se hicieron ajustes respecto a los procedimientos y plazos para ejercer estos derechos, especialmente en relación a las personas jurídicas no constituidas en Chile, y en la extensión del plazo de respuesta a solicitudes de rectificación, de 15 a 30 días. Además, se abordaron temas como el tratamiento de datos personales y categorías especiales de datos.
De igual forma, durante el debate se incorporaron modificaciones en la redacción de temas como los datos biométricos, geolocalización, transferencia internacional de datos, la agencia reguladora, y el marco sancionatorio, incluyendo en este último punto, disposiciones específicas para el uso de datos con fines de prevención o enjuiciamiento de infracciones penales, así como para la protección de víctimas.
El nuevo texto legal establece que toda persona natural o jurídica, incluidos los órganos públicos, que trate datos personales, deberá respetar los derechos y libertades individuales, y someterse a las disposiciones de esta ley.
El régimen no se aplicará al tratamiento de datos en el ejercicio de las libertades de opinión e información, ni al uso de datos por personas naturales en actividades de carácter personal.
La ley se aplicará al tratamiento de datos personales realizado bajo las siguientes circunstancias:
- Cuando el responsable o mandatario esté establecido o constituido en territorio nacional.
- Si el mandatario, con independencia de su lugar de establecimiento o constitución, realice las operaciones a nombre de un responsable establecido o constituido en territorio nacional.
- Cuando el responsable o mandatario no se encuentren establecidos en el territorio nacional, pero sus operaciones ofrezcan bienes o servicios a titulares que se encuentren en Chile.
- El realizado por un responsable que, sin estar establecido en el territorio nacional, le resulte aplicable la legislación nacional a causa de un contrato o del derecho internacional.
Entre los principios fundamentales, la ley establece que los datos solo pueden ser tratados de manera lícita y justa; deben ser recolectados con fines específicos, explícitos y legítimos; y su tratamiento debe limitarse a lo estrictamente necesario y pertinente.
Además, se reconoce el derecho de toda persona a acceder, rectificar, suprimir, oponerse, portar y bloquear sus datos personales. Estos derechos son personales, intransferibles e irrenunciables, y no pueden ser limitados por ningún acto o convención.
La ley además establece explícitamente que el tratamiento de datos personales es lícito cuando el titular otorga su consentimiento, el cual debe ser libre, informado y específico, y manifestado de manera previa e inequívoca. Este consentimiento puede ser revocado en cualquier momento, sin efectos retroactivos.
La ley también contempla situaciones en las que el tratamiento de datos es lícito sin el consentimiento del titular, como en el cumplimiento de una obligación legal o la celebración de un contrato.
Otro aspecto que define la ley tiene relación con las obligaciones del responsable de los datos, incluyendo deberes de confidencialidad y transparencia. De la misma manera, la ley regula el tratamiento de datos sensibles, biométricos y de menores.
Por último, se destaca la creación clave de la Agencia de Protección de Datos Personales, una entidad autónoma de derecho público con personalidad jurídica propia, la cual será la encargada de velar por la protección efectiva de los derechos sobre la privacidad y los datos personales, así como de fiscalizar el cumplimiento de la ley.
La ley también incluye un marco de infracciones, sanciones, y responsabilidades administrativas y civiles. Fue el aspecto particular de las sanciones uno de los que suscito mayor diferencia entre los parlamentarios durante su tramitación final. Sus principales críticos indicaron que éstas pueden llegar a ser “desproporcionadas” y podrían generar desincentivos a la inversión entre las Pymes del sector de las tecnologías.
En lo específico a las sanciones, la ley establece un catálogo de conductas e infracciones: leves, graves y gravísimas, las que se sancionarán con multas de hasta 5.000 UTM, 10.000 UTM y 20.000 UTM, respectivamente, las que se encuentran entre las más altas en nuestro ordenamiento jurídico.
El proyecto fue finalmente aprobado con 65 votos a favor, 22 en contra y 36 abstenciones, pasando a la fase de promulgación, con la excepción de un artículo relacionado con el tratamiento de datos personales por organismos públicos, como el Poder Judicial y el Ministerio Público., el cual quedó fuera de la ley porque requería un mínimo de 78 votos para su aprobación.
La nueva ley entrará en vigencia 24 meses después de su publicación, lo que permitirá a todos los responsables de datos adaptarse a este nuevo régimen.
Con la aprobación de esta legislación, Chile podría ser declarado por la Comisión Europea como país con un nivel adecuado de protección de datos personales, lo que facilitará la transferencia internacional de datos entre nuestro país y la Unión Europea.
La aprobación de esta ley también implica el cumplimiento del último compromiso adquiridos por nuestro país en el contexto de su ingreso a la OECD el año 2010.