ChileCompra publicó “Recomendaciones para organismos públicos sobre el tratamiento de datos personales en sus procedimientos de compras públicas”

Busca aclarar y orientar a los distintos organismos del Estado, a fin de que estos contemplen medidas oportunas que resguarden los datos personales.

La Dirección de Compras y Contratación Pública, ChileCompra el 6 de febrero aprobó la Directiva de Contratación Pública N° 45 sobre “Recomendaciones para organismos públicos sobre el tratamiento de datos personales en sus procedimientos de compras públicas”.

El objeto del presente es dar diferentes recomendaciones tendientes a aclarar y orientar a los distintos organismos del Estado, a fin de que estos contemplen medidas oportunas que resguarden los datos personales de los usuarios compradores y proveedores en el marco de los procedimientos de compras públicas que se realicen a través del Sistema de Información www.mercadopublico.cl.

El alcance de la Directiva esta dirigido a funcionarios, autoridades de entidades públicas sujetas a la Ley de Compras Públicas, oferentes y proveedores del Estado. Buscando que conozcan sus derechos sobre la protección de sus datos personales, ya sea como proveedores del Estado o como terceros beneficiarios de una compra pública.

La Directiva hace presente las definiciones dadas por la Ley N°19.628 de Protección de la Vida Privada, e incluye varios términos importantes en el marco de los procesos de compra y contratación como: Dato caduco, dato estadístico, datos personales, datos sensibles, disociación de datos, encargado de tratamiento, fuentes accesibles al público, organismos públicos, registro o banco de datos, responsable del registro o banco de datos, titular de los datos y tratamiento de datos.

La directiva detalla principios claves para la protección de datos y recomendaciones para su cumplimiento en contrataciones públicas entre los cuales señala:

1. Principio de Legalidad: El tratamiento de datos personales debe realizarse según lo establecido por la ley. La habilitación legal para tratar datos personales en contrataciones se encuentra en la Ley de Compras Públicas, que crea dos bancos de datos administrados por ChileCompra: Mercado Público y el Registro de Proveedores.
2. Principio de Calidad de los Datos: Los datos personales deben ser exactos, adecuados, pertinentes y no excesivos. Concurren tres principios rectores
   1.  Veracidad: Los organismos deben asegurar que los datos personales sean exactos y actualizados. Deben eliminar datos caducos o inexactos;

A fin de dar cumplimiento a este principio, los organismos compradores previo a publicar los actos administrativos relativos a un determinado procedimiento de compra en www.mercadopublico.cl, deben revisar la veracidad de los datos que este contiene.

• Finalidad: Los datos personales deben utilizarse solo para los fines para los cuales fueron recolectados. En contrataciones públicas, esto implica cumplir con requisitos de transparencia y verificar la habilitación del proveedor.
  • Proporcionalidad: Solo se pueden recabar los datos necesarios para conseguir los fines que justifican su recolección. Al requerir datos a los proveedores, los organismos compradores deben considerar la finalidad y si el dato es el que menor incidencia tiene en la protección de datos personales.
• Deber de Información: Los organismos públicos deben informar al titular de los datos sobre la identidad del responsable de la base de datos, la finalidad del tratamiento, la posible comunicación a terceros y los derechos que pueden ejercer.

En el caso del Sistema de Información o Mercado Público, esto se encuentra descrito en las Políticas y Condiciones de Uso de Mercado Público.

• Principio de Seguridad: El responsable de los registros debe cuidar los datos con la debida diligencia, aplicando medidas de seguridad técnicas y organizativas para garantizar la confidencialidad, integridad y disponibilidad de la información.

Sobre este punto, en el ámbito de las compras públicas es especialmente relevante regular el cumplimiento de este principio por los proveedores y los trabajadores de estos que requieran tener acceso al tratamiento de datos para el cumplimiento de la prestación de los servicios contratados por los organismos compradores. 5.

• Principio de Confidencialidad o Secreto: Las personas que trabajan en el tratamiento de datos personales están obligadas a guardar secreto sobre los mismos cuando provengan o hayan sido recolectados de fuentes no accesibles al público, como asimismo sobre los demás datos y antecedentes relacionados con el banco de datos, obligación que no cesa por haber terminado sus actividades en ese campo.
• Deber de Protección Especial de los Datos Personales Sensibles: Existe una prohibición general de tratamiento de datos personales sensibles, salvo excepciones legales. El organismo comprador debe resguardar los datos sensibles que posea y revisar que estos no se publiquen en el Sistema de Información.
• Actualización Legal en Materia de Tratamiento de Datos Personales: Se debe considerar la Ley N° 21.719, que regula la Protección y el Tratamiento de los Datos Personales y crea la Agencia de Protección de Datos Personales.

Esta ley entrará en vigencia el 1 de diciembre de 2026, y los organismos del Estado deberán adaptarse a las nuevas disposiciones.

Directiva de Contratación Pública N° 45  Principio del formulario