La presente se publicó en el Diario Oficial el 13 de diciembre del 2024.
1- ¿Qué modificó la presente ley?
Modificó a la Ley N° 19.628 sobre protección de la vida privada la cual pasa a ser sobre protección a los datos personales.
2- ¿Cuál será el nuevo objeto?
El objeto es regular la forma y condiciones en la cual se efectúa el tratamiento y protección de los datos personales de las personas naturales, en conformidad al artículo 19, N° 4, de la Constitución Política de la República.
3- ¿En qué ámbito no se aplicará esta la ley?
No se aplicará al tratamiento de datos que se realice en el ejercicio de las libertades de emitir opinión y de informar reguladas por las leyes a que se refiere el artículo 19, N° 12, de la Constitución Política de la República. Los medios de comunicación social quedarán sujetos a las disposiciones de esta ley en lo relativo al tratamiento de datos que efectúen con una finalidad distinta a la de opinar e informar.
Tampoco serán aplicables las normas de la presente ley al tratamiento de datos que efectúen las personas naturales en relación con sus actividades personales.
4- ¿Cuál es el ámbito de aplicación territorial?
Se aplicará:
- Cuando el responsable o mandatario estén establecidos o constituidos en el territorio nacional.
- Cuando el mandatario, con independencia de su lugar de establecimiento o constitución, realice las operaciones de tratamiento de datos personales a nombre de un responsable establecido o constituido en el territorio nacional.
- Cuando el responsable o mandatario no se encuentren establecidos en el territorio nacional pero sus operaciones de tratamiento de datos personales estén destinadas a ofrecer bienes o servicios a titulares que se encuentren en Chile.
- Asimismo se aplicará al tratamiento de datos personales que sea realizado por un responsable al que, sin estar establecido en el territorio nacional, le resulte aplicable la legislación nacional a causa de un contrato o del derecho internacional.
5- ¿Qué es un dato personal?
Cualquier información vinculada o referida a una persona natural identificada o identificable.
• ¿Qué se considerará identificable?
toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante uno o más identificadores, tales como el nombre, el número de cédula de identidad, el análisis de elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona.
5- ¿Cuáles son los datos personales sensibles?
Aquellos datos personales que se refieren a las características físicas o morales de las personas o a hechos o circunstancias de su vida privada o intimidad, que revelen el origen étnico o racial, la afiliación política, sindical o gremial, la situación socioeconómica, las convicciones ideológicas o filosóficas, las creencias religiosas, los datos relativos a la salud, al perfil biológico humano, los datos biométricos, y la información relativa a la vida sexual, a la orientación sexual y a la identidad de género de una persona natural.
• ¿Cómo es el tratamiento de estos datos personales sensibles?
El tratamiento de los datos personales sensibles sólo puede realizarse cuando el titular a quien conciernen estos datos manifiesta su consentimiento en forma expresa, otorgado a través de una declaración escrita, verbal o por un medio tecnológico equivalente.
Sin perjuicio de lo anterior, es lícito el tratamiento de datos personales sensibles, sin el consentimiento del titular, en los siguientes casos:
a) Cuando el tratamiento se refiere a datos personales sensibles que el titular ha hecho manifiestamente públicos y su tratamiento esté relacionado con los fines para los cuales fueron publicados.
b) Cuando el tratamiento se basa en un interés legítimo realizado por una persona jurídica de derecho público o de derecho privado que no persiga fines de lucro y se cumplan las siguientes condiciones:
i. Su finalidad sea política, filosófica, religiosa, cultural, sindical o gremial;
ii. El tratamiento que realice se refiera exclusivamente a sus miembros o afiliados;
iii. El tratamiento de datos tenga por objeto cumplir las finalidades específicas de la institución;
iv. La persona jurídica otorgue las garantías necesarias para evitar filtraciones, sustracciones o un uso o tratamiento no autorizado de los datos, y
v. Los datos personales no se comuniquen o cedan a terceros.
Cumpliéndose estas condiciones, la persona jurídica no requerirá el consentimiento del titular para tratar sus datos, incluidos los datos personales sensibles. En caso de duda o controversia administrativa o judicial, el responsable de datos deberá acreditar su concurrencia.
c) Cuando el tratamiento de los datos personales del titular resulte indispensable para salvaguardar la vida, salud o integridad física o psíquica del titular o de otra persona o, cuando el titular se encuentre física o jurídicamente impedido de otorgar su consentimiento.
d) Cuando el tratamiento de los datos sea necesario para la formulación, ejercicio o defensa de un derecho ante los tribunales de justicia o un órgano administrativo.
e) Cuando el tratamiento de datos sea necesario para el ejercicio de derechos y el cumplimiento de obligaciones del responsable o del titular de datos, en el ámbito laboral o de seguridad social, y se realice en el marco de la ley.
f) Cuando el tratamiento de datos personales sensibles lo autorice o mandate expresamente la ley.
6- ¿Qué tratamientos sobre los datos personales regula la ley?
- El tratamiento de datos personales sensibles
a. Datos personales sensibles relativos a la salud y al perfil biológico humano
b. Datos personales biométricos - Datos personales relativos a los niños, niñas y adolescentes.
- Datos personales con fines históricos, estadísticos, científicos y de estudios o investigación.
- Datos de geolocalización
- Datos personales por los órganos públicos.
7- ¿Qué es la anonimización y la seudonimización de los datos personales?
Es el procedimiento irreversible en virtud del cual un dato personal no puede vincularse o asociarse a una persona determinada, ni permitir su identificación, por haberse destruido o eliminado el nexo con la información que vincula, asocia o identifica a esa persona. Un dato anonimizado deja de ser un dato personal.
Seudonimización es el tratamiento de datos personales que se efectúa de manera tal que ya no puedan atribuirse a un titular sin utilizar información adicional, siempre que dicha información adicional figure por separado y esté sujeta a medidas técnicas y organizativas destinadas a garantizar que los datos personales no se atribuyan a una persona natural identificada o identificable.
8- ¿Quién se considera responsable de los datos personales?
Toda persona natural o jurídica, pública o privada, que decide acerca de los fines y medios del tratamiento de datos personales, con independencia de si los datos son tratados directamente por ella o a través de un tercero mandatario o encargado.
9- ¿Cuáles son los principios por los cuales se rige el tratamiento de datos personales?
a) Principios de licitud y lealtad.
b) Principio de finalidad.
c) Principio de proporcionalidad.
d) Principio de calidad.
e) Principio de responsabilidad.
f) Principio de seguridad.
g) Principio de transparencia e información.
h) Principio de confidencialidad.
10- ¿Cuáles son los derechos de los titulares de datos personales?
a. Derecho de acceso.
b. Derecho de rectificación.
c. Derecho de supresión.
d. Derecho de Oposición.
e. Derecho de bloqueo del tratamiento.
f. Derecho a la portabilidad de los datos personales
Los cuales son personales, intransferibles e irrenunciables y no pueden limitarse por ningún acto o convención.
11- ¿Cómo se ejercen estos derechos?
Se ejercen por el titular ante el responsable de datos. Si los datos personales del titular son tratados por diversos responsables, el titular puede ejercer sus derechos ante cualquiera de ellos.
Los responsables de datos deberán implementar mecanismos y herramientas tecnológicas que permitan que el titular ejerza sus derechos en forma expedita, ágil y eficaz. Los medios dispuestos por el responsable deben ser sencillos en su operación.
El ejercicio de los derechos de rectificación, supresión y oposición siempre serán gratuitos para el titular. El derecho de acceso también se ejercerá en forma gratuita, al menos trimestralmente.
• ¿Cuál es el procedimiento?
El titular debe presentar una solicitud o requerimiento escrito ante el responsable, dirigido a la dirección de correo electrónico establecida para este fin, un formulario de contacto o un medio electrónico equivalente.
Recibida la solicitud el responsable deberá acusar recibo de ella y pronunciarse a más tardar dentro de los 30 días corridos siguientes a la fecha de ingreso de la solicitud -el cual podrá ser prorrogado, por una sola vez, hasta por 30 días corridos-, debiendo responder por escrito al titular a su domicilio o la dirección de correo electrónico fijada por éste. En caso de denegación total o parcial el titular dispone de un plazo de 30 días hábiles para formular una reclamación ante la Agencia, de acuerdo con el procedimiento establecido en el artículo 41 de la ley. Asimismo podrá ejercer sus derechos en caso que no exista respuesta.
Cuando se formule una solicitud de rectificación, supresión u oposición, el titular tendrá derecho a solicitar y obtener del responsable el bloqueo temporal de sus datos o del tratamiento que realice, según corresponda.
12- ¿Cuáles son las fuentes de licitud que establece la ley?
a. Consentimiento
b. Cuando el tratamiento esté referido a datos relativos a obligaciones de carácter económico, financiero, bancario o comercial y se realice de conformidad con las normas del Título III de la ley, incluidos los datos referidos a la situación socioeconómica del titular.
c. Cuando el tratamiento sea necesario para la ejecución o el cumplimiento de una obligación legal o lo disponga la ley.
d. Cuando el tratamiento de datos sea necesario para la celebración o ejecución de un contrato entre el titular y el responsable, o para la ejecución de medidas precontractuales adoptadas a solicitud del titular.
e. Cuando el tratamiento sea necesario para la satisfacción de intereses legítimos del responsable o de un tercero, siempre que con ello no se afecten los derechos y libertades del titular. En todo caso, el titular podrá exigir siempre ser informado sobre el tratamiento que lo afecta y el interés legítimo en base al cual se efectúa dicho tratamiento.
f. Cuando el tratamiento de datos sea necesario para la formulación, ejercicio o defensa de un derecho ante los tribunales de justicia u órganos públicos.
• ¿Quién debe acreditar la licitud del tratamiento de datos?
El responsable de los datos.
13- ¿Cuáles son las obligaciones del responsable de datos?
Sin perjuicio de las demás obligaciones encontramos:
a. Informar y poner a disposición del titular los antecedentes que acrediten la licitud del tratamiento de datos que realiza. Asimismo, deberá entregar de manera expedita dicha información cuando le sea requerida.
b. Asegurar que los datos personales se recojan de fuentes de acceso lícitas con fines específicos, explícitos y lícitos, y que su tratamiento se limite al cumplimiento de estos fines.
c. Comunicar o ceder, en conformidad a las disposiciones de esta ley, información exacta, completa y actual.
d. Suprimir o anonimizar los datos personales del titular cuando fueron obtenidos para la ejecución de medidas precontractuales.
e. Cumplir con los demás deberes, principios y obligaciones que rigen el tratamiento de los datos personales previstos en esta ley.
14- ¿Cuáles son los deberes específicos para los responsables de los datos?
a. Deber de secreto o confidencialidad
b. Deber de información y transparencia.
c. Deber de protección desde el diseño y por defecto
d. Deber de adoptar medidas de seguridad.
e. Deber de reportar las vulneraciones a las medidas de seguridad.
15- ¿Se pueden ceder los datos personales?
Si, podrán ser cedidos con el consentimiento del titular y para el cumplimiento de los fines del tratamiento. También se podrán ceder los datos personales cuando la cesión sea necesaria para el cumplimiento y la ejecución de un contrato en que es parte el titular; cuando exista un interés legítimo del cedente o del cesionario.
16- ¿A qué se refiere la ley cuando señala la “Evaluación de impacto en protección de datos personales”?
En aquellos casos cuando sea probable que un tipo de tratamiento, por su naturaleza, alcance, contexto, tecnología utilizada o fines, pueda producir un alto riesgo para los derechos de las personas titulares de los datos personales, el responsable del tratamiento deberá realizar, previo al inicio de las operaciones del tratamiento, una evaluación del impacto en protección de datos personales.
• ¿En qué casos se requiere siempre la evaluación de impacto?
a) Evaluación sistemática y exhaustiva de aspectos personales de los titulares de datos, basadas en tratamiento o decisiones automatizadas, como la elaboración de perfiles, y que produzcan en ellos efectos jurídicos significativos.
b) Tratamiento masivo de datos o a gran escala.
c) Tratamiento que implique observación o monitoreo sistemático de una zona de acceso público.
d) Tratamiento de datos sensibles y especialmente protegidos, en las hipótesis de excepción del consentimiento.
17- ¿Qué establece en cuanto al tratamiento de los datos por los órganos públicos?
Señala que es lícito el tratamiento de los datos personales que efectúan los órganos públicos cuando se realiza para el cumplimiento de sus funciones legales, dentro del ámbito de sus competencias, de conformidad a las normas establecidas en la ley, y a las disposiciones previstas en este Título. En esas condiciones, los órganos públicos actúan como responsables de datos y no requieren el consentimiento del titular para tratar sus datos personales.
• ¿Qué principios son aplicables al tratamiento de datos de los órganos públicos?
Los mismos señalados en esta ley y los principios generales que rigen la administración del estado, especialmente los principios de coordinación, probidad y eficiencia.
• ¿Pueden comunicar o ceder datos los órganos públicos?
Los órganos públicos están facultados para comunicar o ceder datos personales específicos, o todo o parte de sus bases de datos o conjuntos de datos, a otros órganos públicos, siempre que la comunicación o cesión de los datos resulte necesaria para el cumplimiento de sus funciones legales y ambos órganos actúen dentro del ámbito de sus competencias. La comunicación o cesión de los datos se debe realizar para un tratamiento específico y el órgano público receptor no los podrá utilizar para otros fines.
Asimismo, se podrá comunicar o ceder datos o bases de datos personales entre organismos públicos, exclusivamente cuando ellos se requieran para un tratamiento que tenga por finalidad otorgar beneficios al titular, evitar duplicidad de trámites para los ciudadanos o reiteración de requerimientos de información o documentos para los mismos titulares.
18- ¿Qué ocurre en el caso de los datos relativos a infracciones penales, civiles, administrativas y disciplinarias?
Los datos personales relativos a la comisión y sanción de infracciones penales, civiles, administrativas y disciplinarias sólo pueden ser tratados por los organismos públicos para el cumplimiento de sus funciones legales, dentro del ámbito de sus competencias y en los casos expresamente previstos en la ley.
19- ¿Qué establece en torno a la transferencia internacional de datos personales?
Son lícitas las operaciones de transferencia internacional de datos en cualquiera de los siguientes casos:
a) Cuando la transferencia se realice a una persona, entidad u organización pública o privada, sujeta al ordenamiento jurídico de un país que proporcione niveles adecuados de protección de datos personales, de conformidad a lo dispuesto en el artículo 28.
b) Cuando la transferencia de datos quede amparada por cláusulas contractuales, normas corporativas vinculantes, u otros instrumentos jurídicos suscritos entre el responsable que efectúa la transferencia y el responsable o tercero mandatario que la reciba, y en ellas se establezcan garantías adecuadas, de conformidad a lo dispuesto en el artículo 28.
c) Cuando el responsable que efectúa la transferencia y el responsable o tercero mandatario que la recibe, adopten un modelo de cumplimiento o mecanismo de certificación y en ellos se establezcan garantías adecuadas, de conformidad con el artículo 28.
20- ¿Cuál será la autoridad de control en materia de protección de datos?
La nueva ley creó la Agencia de Protección de Datos Personales, la cual es una corporación autónoma de derecho público, de carácter técnico, descentralizado, con personalidad jurídica y patrimonio propio, que se relacionará con el Presidente de la República a través del Ministerio de Economía, Fomento y Turismo.
- ¿Cuál es el objetivo de la Agencia?
Tendrá por objeto velar por la efectiva protección de los derechos que garantizan la vida privada de las personas y sus datos personales. - ¿Cuáles son sus funciones?
1- Dictar instrucciones y normas generales y obligatorias con el objeto de regular las operaciones de tratamiento de datos personales conforme a los principios establecidos en esta ley.
2- Aplicar e interpretar administrativamente las disposiciones legales y reglamentarias en materia de protección de los datos personales y las instrucciones y normas generales que dicte la Agencia.
3- Fiscalizar el cumplimiento de las disposiciones de esta ley, sus reglamentos y las instrucciones y normas generales que se dicten respecto de los tratamientos de datos personales.
4- Determinar las infracciones e incumplimientos en que incurran quienes realicen tratamiento de datos personales, en sus operaciones de tratamiento de datos, respecto de los principios y obligaciones establecidos en esta ley, sus reglamentos y las instrucciones y normas generales que emita la Agencia.
5- Ejercer la potestad sancionadora sobre las personas naturales o jurídicas que traten datos personales con infracción a esta ley, sus reglamentos y a instrucciones y normas generales dictadas por la Agencia, aplicando las sanciones establecidas en la presente ley.
6- Resolver las solicitudes y reclamos que formulen los titulares de datos en contra de quienes traten datos personales con infracción a esta ley, sus reglamentos o las instrucciones y normas generales dictadas por la Agencia.
7- Certificar, registrar y supervisar los modelos de prevención de infracciones y los programas de cumplimiento y administrar el Registro Nacional de Sanciones y Cumplimiento.
8- Ejercer las demás funciones y atribuciones que la ley le encomiende.
21- ¿Cuál es el régimen de responsabilidad?
El responsable de datos, sea una persona natural o jurídica, de derecho público o privado, que en sus operaciones de tratamiento de datos personales infrinja los principios y los derechos y obligaciones establecidos en esta ley.
• ¿Qué infracciones encontramos?
Las infracciones cometidas por los responsables de datos a los principios y a los derechos y obligaciones establecidos en esta ley se califican, atendida su gravedad, en leves, graves y gravísimas.
Las responsabilidades en que incurra una persona natural o jurídica por las infracciones establecidas en esta ley, se entienden sin perjuicio de las demás responsabilidades legales, civiles o penales, que pudieran corresponderle.
• ¿Cuáles son las sanciones?
a) Las infracciones leves serán sancionadas con amonestación escrita o multa de hasta 5.000 UTM.
b) Las infracciones graves serán sancionadas con multa de hasta 10.000 UTM.
c) Las infracciones gravísimas serán sancionadas con multa de hasta 20.000 UTM.
• ¿Cómo se determina el monto de la multa?
En la determinación del monto de las multas señaladas en esta ley, la Agencia deberá aplicar prudencialmente los siguientes criterios:
- La gravedad de la conducta.
- Si la conducta fue realizada con falta de diligencia o cuidado en aquellos casos que no se consideran estos elementos en la configuración de la infracción.
- El perjuicio producido con motivo de la infracción, especialmente el número de titulares de datos que se vieron afectados.
- El beneficio económico obtenido con motivo de la infracción, en caso de que lo hubiese.
- Si el tratamiento realizado incluye datos personales sensibles o datos personales de niños, niñas y adolescentes.
- La capacidad económica del infractor.
- Las sanciones aplicadas con anterioridad por la Agencia en las mismas circunstancias.
- Las circunstancias atenuantes y agravantes que concurran.
• ¿Qué sanciones accesorias encontramos?
En caso que se impongan multas por infracciones gravísimas reiteradas, en un período de veinticuatro meses, la Agencia podrá disponer la suspensión de las operaciones y actividades de tratamiento de datos que realiza el responsable de datos, hasta por un término de 30 días. Esta suspensión no afectará el almacenamiento de datos por parte del responsable.
La suspensión que disponga la Agencia como sanción accesoria podrá ser parcial o total, y no podrá decretarse cuando con ello se afecten los derechos de los titulares.
22- ¿Qué es el Registro Nacional de Sanciones y Cumplimiento?
Se crea un registro nacional de carácter público y su acceso gratuito, administrado por la Agencia, que consigna los modelos certificados de prevención, los responsables de datos que los hayan adoptado y las sanciones que se hayan impuesto a los responsables de datos que hayan infringido la ley. Se consultará y llevará de forma electrónica.
23- ¿Qué procedimientos administrativos establece la ley?
- Procedimiento administrativo de tutela de derechos.
- Procedimiento administrativo por infracción de ley.
24- ¿Qué procedimiento de reclamación judicial establece?
Las personas naturales o jurídicas interesadas que estimen que un acto administrativo que paraliza el procedimiento, o una resolución final o de término emanado de la Agencia, sea ilegal, podrán deducir un reclamo de ilegalidad ante la Corte de Apelaciones de Santiago o la del lugar donde se encuentre domiciliado el reclamante, a elección de este último. El reclamo deberá interponerse dentro de los quince días hábiles siguientes a la notificación de la resolución impugnada.
25- ¿Qué es un modelo de prevención de infracciones?
La ley señala que los responsables de datos podrán voluntariamente adoptar un modelo de prevención de infracciones consistente en un programa de cumplimiento.
El cual deberá contener, al menos, los siguientes elementos:
a) La designación de un delegado de protección de datos personales.
b) La definición de medios y facultades del delegado de protección de datos.
c) La identificación del tipo de información que la entidad trata, el ámbito territorial en que opera, la categoría, clase o tipos de datos o bases de datos que administra, y la caracterización de los titulares de datos.
d) La identificación de las actividades o procesos de la entidad, sean habituales o esporádicos, en cuyo contexto se genere o incremente el riesgo de comisión de las infracciones.
e) El establecimiento de protocolos, reglas y procedimientos específicos que permitan a las personas que intervengan en las actividades o procesos indicados en la letra anterior, programar y ejecutar sus tareas o labores de una manera que prevenga la comisión de las referidas infracciones.
f) Los mecanismos de reporte interno sobre el cumplimiento de lo dispuesto en la presente ley y los mecanismos de reporte a la autoridad de protección de datos.
g) La existencia de sanciones administrativas internas, así como de procedimientos de denuncia o castigo de responsabilidades de las personas que incumplan el sistema de prevención de infracciones.
26- ¿Qué señala en torno al tratamiento de los datos personales por el Congreso Nacional, el Poder Judicial y organismos públicos dotados de autonomía constitucional?
Es lícito el tratamiento de los datos personales que efectúan el Congreso Nacional, el Poder Judicial, la Contraloría General de la República, el Ministerio Público, el Tribunal Constitucional, el Banco Central, el Servicio Electoral y la Justicia Electoral, y los demás tribunales especiales creados por ley, cuando se realiza para el cumplimiento de sus funciones legales, dentro del ámbito de sus competencias y, de conformidad a las normas especiales que se establecen en sus respectivas leyes orgánicas y a las disposiciones del Título IV de esta ley. Los funcionarios de estos organismos deberán guardar secreto de tales datos. En esas condiciones estas instituciones y organismos tienen la calidad de responsables de datos y no requieren el consentimiento del titular para efectuar el tratamiento de sus datos personales.
Las autoridades superiores de los órganos internos de estas instituciones deberán dictar las políticas, normas e instrucciones necesarias para dar cumplimiento a los principios y obligaciones establecidos en esta ley.