El coordinador de regulación y normativa de la Secretaría de Gobierno Digital del Ministerio de Hacienda, César Abusleme, se refirió a su visión optimista y estratégica respecto a la nueva ley de protección de datos personales.
En ese sentido, el coordinador asegura que esta legislación marca un hito significativo, especialmente por la creación de la Agencia de Protección de Datos, la cual adaptará las normativas de manera dinámica para mantenerse al ritmo de los avances tecnológicos.
¿Qué factores impulsaron la necesidad de crear una nueva ley de datos personales en Chile en este momento?
Chile se encontraba significativamente rezagado en materia de protección de datos personales, a pesar de su posición de liderazgo regional en transformación digital. En este contexto, existen dos factores determinantes que impulsaron la creación de una nueva ley de protección de datos personales: la obsolescencia del marco regulatorio vigente, incapaz de responder a las demandas de la transformación digital, y la carencia de una estructura de gobernanza efectiva que asegure la ejecución de la regulación.
En cuanto al primer factor, desde hace al menos una década existe un consenso generalizado sobre las limitaciones de la Ley de Protección de la Vida Privada, promulgada en 1999. Este marco normativo, adecuado para su época, no anticipó las profundas disrupciones sociales, económicas y políticas que traerían los gigantes tecnológicos como Google en el ámbito de la navegación en Internet o Facebook en redes sociales, y aún menos los recientes avances en inteligencia artificial generativa.
Respecto a la gobernanza, el consenso es igualmente sólido en cuanto a la necesidad de contar con una autoridad de protección de datos dotada de competencias suficientes para regular, fiscalizar y sancionar de manera efectiva, en un mercado donde operan actores de considerable peso específico. Asimismo, esta autoridad busca ofrecer claridad normativa a aquellos actores que, actuando de buena fe, aspiran a cumplir con los estándares de privacidad y protección de datos personales en el marco de una economía digital moderna.
¿Cuáles son los cambios más significativos que introduce esta ley en comparación con la legislación anterior?
El cambio es profundamente transformador. Representa un verdadero salto en el tiempo: Chile ha pasado de proteger los datos personales bajo un marco normativo propio de finales del siglo XX a adoptar los más altos estándares internacionales vigentes en la actualidad.
En este contexto, los cambios más relevantes incluyen la creación de una Agencia de Protección de Datos, la ampliación y robustecimiento de los derechos de los individuos como titulares de datos, la incorporación de principios rectores fundamentales para el tratamiento de datos personales, y el fortalecimiento de los requisitos de consentimiento informado por parte de los titulares para autorizar el tratamiento de sus datos.
Asimismo, se consagra un marco legal más claro para facilitar y habilitar el tratamiento de datos en determinadas circunstancias, se implementan sanciones más estrictas, y se regula de manera exhaustiva la transferencia internacional de datos. Estos avances colocan a Chile en una posición de vanguardia en la protección de la privacidad en la era digital.
¿Qué medidas se implementan para la protección de datos sensibles y cómo se definen en la nueva ley?
La nueva ley define los datos sensibles como aquellos datos personales que se refieren a las características físicas o morales de las personas o a hechos o circunstancias de su vida privada o intimidad, que revelen el origen étnico o racial, la afiliación política, sindical o gremial, situación socioeconómica, las convicciones ideológicas o filosóficas, las creencias religiosas, los datos relativos a la salud, al perfil biológico humano, los datos biométricos, y la información relativa a la vida sexual, a la orientación sexual y a la identidad de género de una persona natural.
La nueva legislación establece rigurosas salvaguardas para el tratamiento de estos datos. En primer lugar, el tratamiento de datos personales sensibles solo se permite cuando el titular otorga su consentimiento de forma explícita y específica, o en circunstancias claramente delimitadas por la ley, como cuando los datos han sido publicados por el propio titular, son tratados por una entidad sin fines de lucro en virtud de un interés legítimo, o resultan indispensables para proteger la vida, salud o integridad física o psíquica del titular o de otra persona.
Además, la ley impone obligaciones especiales sobre el manejo de datos sensibles en cuanto a la confidencialidad, evaluación de impacto en la privacidad y reporte de vulneraciones de seguridad, entre otros aspectos. Infringir el deber de secreto o confidencialidad en el manejo de datos sensibles, o tratarlos, comunicarlos o cederlos intencionalmente, especialmente en el caso de datos de niños, niñas y adolescentes, se considera una “infracción gravísima”, que puede derivar en sanciones significativas para los responsables.
¿Cómo regula la ley la transferencia de datos personales a otros países y qué criterios se deben cumplir?
Nuestra nueva legislación de datos personales habilitará la transferencia internacional de datos bajo ciertas condiciones que aseguran la protección de los derechos de los titulares. Así, dichas transferencias serán permitidas cuando el receptor en el país de destino asegure un «nivel adecuado de protección de datos», es decir, cuando el marco jurídico extranjero cumpla con estándares equivalentes o superiores a los establecidos en la legislación chilena.
Asimismo, estas transferencias estarán permitidas si se encuentran respaldadas por cláusulas contractuales, normas corporativas vinculantes u otros instrumentos legales entre las partes que ofrezcan garantías adecuadas, o cuando se adopten modelos de cumplimiento o mecanismos de certificación que cumplan con estas garantías.
En ausencia de los requisitos mencionados, la transferencia internacional podrá autorizarse en situaciones excepcionales, tales como cuando exista el consentimiento expreso del titular, para el cumplimiento de obligaciones bancarias o financieras, en virtud de tratados internacionales ratificados, o cuando sea esencial para convenios de cooperación pública, asistencia judicial o para la ejecución de contratos y medidas precontractuales a solicitud del titular.
La ley establece además que la Agencia de Protección de Datos será responsable de definir y publicar una lista de países considerados seguros para la transferencia de datos. La Agencia Española de Protección de Datos incluye en esta lista a Suiza, Canadá, Argentina, Guernsey, Isla de Man, Jersey, Islas Feroe, Andorra, Israel, Uruguay, Nueva Zelanda, Estados Unidos, Japón, Reino Unido y la República de Corea.
La Agencia también tendrá la facultad de aprobar modelos de cláusulas contractuales y normas corporativas vinculantes, especialmente en el contexto de empresas de un mismo grupo, permitiendo la transferencia internacional bajo un esquema uniforme de protección.
¿Cómo afectará la nueva ley al manejo de datos personales en el sector público y qué cambios se esperan en la administración pública?
La nueva normativa provocará una mejora significativa en la gestión y tratamiento de datos dentro del sector público. Actualmente, las limitaciones del marco regulatorio y la falta de un sistema de gobernanza sólido han generado áreas grises y brechas interpretativas, que la Administración ha intentado subsanar mediante convenios y otros instrumentos jurídicos. Esta situación ha sido una barrera histórica para consolidar un Estado verdaderamente interoperable. En este contexto, la nueva ley y la creación de la Agencia de Protección de Datos aportarán la claridad normativa largamente esperada, facilitando así la consolidación de un Estado verdaderamente impulsado por datos.
La implementación de esta normativa, sin embargo, implicará un gran desafío para los órganos de la Administración. Es por eso por lo que la Secretaría de Gobierno Digital ya ha iniciado un trabajo conjunto con especialistas para desarrollar una hoja de ruta para prepararnos adecuadamente para la entrada en vigor de la ley, lo que ocurrirá en aproximadamente dos años. Este esfuerzo permitirá establecer mecanismos de adaptación temprana, diagnosticar brechas y generar capacidades técnicas en la Administración Pública.
A pesar de las dificultades inherentes a este proceso, el impacto esperado es un fortalecimiento integral de la Administración Pública, la que ahora contará con las herramientas jurídicas para facilitar el flujo seguro de datos, con el objeto de optimizar la entrega de servicios, mejorar la eficacia y eficiencia en la gestión pública, y diseñar, implementar y evaluar políticas públicas en base a datos e información. Todo esto se llevará a cabo con un respeto firme por los derechos fundamentales de los ciudadanos de Chile.
¿Qué proyecciones tienes sobre la evolución de la legislación en materia de protección de datos en Chile a medida que avanza la tecnología?
Aunque pueda parecer contraintuitivo, considero que, a medida que la tecnología continúe avanzando, el rol de la legislación tenderá a quedar en un segundo plano en la operatividad diaria, cediendo protagonismo a una regulación más específica, dinámica y contextual que emanará de la futura Agencia de Protección de Datos Personales. Una de las lecciones clave de este proceso legislativo es que la ley, en su naturaleza general y estática, no puede igualar el ritmo de los desarrollos tecnológicos. Por lo tanto, resulta imperativo emplear instrumentos jurídicos que sean más flexibles y ágiles para garantizar una protección efectiva de los derechos de los individuos.
En este contexto, la legislación debe concebirse como un marco general que establece los principios fundamentales del sistema, sin restringir su capacidad de evolución y adaptación ante nuevas realidades. Este enfoque permite que el sistema se ajuste de manera oportuna y adecuada a los avances, en un proceso que la legislación formal –por la naturaleza deliberativa del Congreso– no podría ni debería intentar replicar en términos de velocidad.