El Tribunal Constitucional revisó y declaró constitucionales las normas del proyecto, quedando pendientes solo las etapas de promulgación y publicación para convertirse en ley. La normativa comenzará a regir a los 24 meses desde su aparición en el Diario Oficial.
El pasado jueves 14 de noviembre, el Tribunal Constitucional declaró como constitucionales todas las normas del Proyecto de Ley de Datos Personales, dando de esta manera luz verde a las etapas de promulgación y publicación en el Diario Oficial, lo que debería ocurrir durante las próximas semanas.
En lo fundamental, el proyecto de ley establece un marco integral para la protección y tratamiento de datos personales, junto con la creación de una Agencia de Protección de Datos Personales, un organismo autónomo encargado de fiscalizar y garantizar el cumplimiento de estas normativas.
Este marco legal busca alinear al país con estándares internacionales, como los establecidos por el Reglamento General de Protección de Datos (GDPR) de la Unión Europea, y regirá a todas las personas naturales y jurídicas que traten información personal.
Uno de los puntos más debatidos durante el proceso de revisión en el Tribunal Constitucional fue la autonomía y las facultades sancionadoras de la nueva Agencia. Aunque la mayoría del Tribunal Constitucional respaldó estas disposiciones, hubo objeciones respecto a ciertas competencias que debieron haber sido tratadas como una ley común, y no como una ley orgánica constitucional.
La potestad sancionadora de la Agencia fue otro de los temas claves abordados en la reciente instancia. El Tribunal evaluó si estas facultades pudiesen invadir atribuciones reservadas para los tribunales de justicia. Finalmente, se concluyó que la Agencia podrá actuar como un ente administrativo y sancionador, siguiendo el modelo de organismos similares en Europa.
En este nuevo régimen sancionatorio, la Agencia podrá amonestar por escrito a multas de hasta 20 mil UTM, incluyendo en ciertos casos la suspensión del tratamiento de datos por 30 días, aquellas infracciones a los deberes, obligaciones y principios establecidos en la ley.
La nueva ley propone además una serie de innovaciones, ampliando las bases de licitud del tratamiento de datos e incorporando motivos como el interés legítimo o la ejecución de un contrato, además del consentimiento.
Además, establece derechos clave para los titulares, como acceso, rectificación, oposición, portabilidad y supresión, junto con principios rectores como licitud, transparencia, seguridad y confidencialidad, cuyo incumplimiento será sancionado.
Este fue otro de los temas debatidos en la instancia, con el cual se garantiza a los ciudadanos y empresas la posibilidad de impugnar decisiones de la Agencia ante la Corte de Apelaciones. Este mecanismo asegura el debido proceso y el acceso a la justicia en caso de discrepancias sobre multas o la gestión de derechos relacionados con datos personales.
La nueva normativa también introduce deberes para los responsables del tratamiento, como proteger los datos desde el diseño y reportar vulneraciones.
Finalmente, se crea un programa de compliance voluntario, el que será certificado por la Agencia, y que incluirá la figura del Delegado de Protección de Datos (DPO) como garante de cumplimiento.
Por último, se destaca la creación del Registro Nacional de Sanciones y Cumplimiento, el que será administrado por la agencia, y en el que se consignará a los responsables que hayan adoptado un modelo de prevención de infracciones certificado y las sanciones impuestas a los infractores de la ley.